“ ช่องทางการติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เพื่อติดต่อหรือสอบถามข้อมูลเกี่ยวกับเรื่องการคุ้มครองข้อมูลส่วนบุคคล ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ได้ที่อีเมล: dpo@innovex.co.th ”
นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy
Policy)
บริษัท อินโนเว็ก
โฮลดิ้ง จำกัด
และกลุ่มบริษัท
(ซึ่งต่อไปนี้เรียกว่า
"บริษัท")
เคารพสิทธิความเป็นส่วนตัวของลูกค้า
คู่ค้า
ผู้ถือหุ้น
ลูกจ้างของบริษัทและบุคคลต่าง
ๆ
ที่เกี่ยวข้องกับ
บริษัทและเพื่อให้เกิดความมั่นใจว่าบุคคลดังกล่าวจะได้รับความคุ้มครองสิทธิอย่างครบถ้วนตามกฎหมายคุ้มครอง
ข้อมูลส่วนบุคคล
คณะกรรมการบริษัทจึงอนุมัติให้ใช้นโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทอินโนเว็ก
โฮลดิ้ง จำกัด
(Privacy Policy) เพื่อให้มีหลักเกณฑ์กลไก
มาตรการกํากับดูแล
และการบริหารจัดการ
ข้อมูลส่วนบุคคลอย่างชัดเจนและเหมาะสม
1. ขอบเขตการบังคับใช้
นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้
ใช้บังคับกับบริษัทพนักงานของบริษัทและบุคคลที่
เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลตามคําสั่งหรือในนามของบริษัท
2. คํานิยาม
2.1
การประมวลผล (Processing) หมายถึง
การดำเนินการใด
ๆ
กับข้อมูลส่วนบุคคล
เช่น การเก็บ
รวบรวม
บันทึก
จัดระบบ ทำโครงสร้าง
เก็บรักษา
ปรับปรุง
เปลี่ยนแปลง
กู้คืน ใช้
เปิดเผย
ส่งต่อ
เผยแพร่ โอน
ผสมเข้าด้วยกัน
ลบ ทำลาย
2.2
ข้อมูลส่วนบุคคล
(Personal Data) หมายถึง
ข้อมูลที่เกี่ยวกับบุคคลธรรมดา
ซึ่งทำให้สามารถระบุตัวตนของบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม
เช่น ชื่อ
นามสกุล อีเมล
เบอร์โทรศัพท์ IP Address รูปภาพ
เชื้อชาติ
ศาสนา
ความคิดเห็นทางการเมือง
ข้อมูลทางพันธุกรรม
ข้อมูลทางชีวภาพ
(Biometric data)
2.3
เจ้าของข้อมูลส่วนบุคคล
(Data Subject) หมายถึง
บุคคลธรรมดาที่ข้อมูลส่วนบุคคลสามารถระบุ
ตัวตนของบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม
2.4
ผู้ควบคุมข้อมูลส่วนบุคคล
(Data Controller) หมายถึง
บุคคลธรรมดาหรือนิติบุคคล
ซึ่งมีอำนาจ
หน้าที่ตัดสินใจเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล
2.5
ผู้ประมวลผลข้อมูลส่วนบุคคล
(Data Processor) หมายถึง
บุคคลธรรมดาหรือนิติบุคคลซึ่ง
ดำเนินการเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลตามคําสั่งหรือในนามของผู้ควบคุมข้อมูลส่วน
บุคคล
2.6 ผู้เก็บข้อมูล
หมายความว่า
บุคคลที่ได้รับคำยินยอมให้สามารถจัดเก็บข้อมูลส่วนบุคคลได้ตามขอบเขตที่วัตถุประสงค์กำหนด
2.7 ผู้ใช้ข้อมูล
หมายความว่า
บุคคลที่ได้รับคำยินยอมให้สามารถใช้ข้อมูลในการประกอบกิจกรรมต่างๆ
ได้
ตามขอบเขตที่วัตถุประสงค์กำหนด
2.8 การเผยแพร่ข้อมูล
หมายความว่า
มีการเผยแพร่ข้อมูลให้กับบุคคลอื่น
หรือหน่วยงานอื่น
ทั้งภายใน
และภายนอกบริษัท
2.9 ผู้สมัครงาน
หมายความว่า
ผู้สมัครงาน
ผู้สมัครเข้าฝึกงาน
ผู้ฝึกงาน
และบุคคลใด ๆ
ที่เข้ามาเกี่ยวข้องติดต่อกับบริษัทฯในกระบวนการสรรหาหรือคัดสรรพนักงาน
2.10 ลูกจ้าง
หมายความว่า
บุคคลซึ่งทำงานหรือปฏิบัติหน้าที่ใด
ๆ
ให้กับบริษัทฯ
และได้ค่าจ้าง
สวัสดิการ
หรือค่าตอบแทนอื่นไม่ว่าจะเรียกชื่ออย่างไรจากบริษัทฯ
เพื่อตอบแทนการทำงาน
เช่น กรรมการ
ผู้บริหาร
ผู้จัดการ
พนักงาน
บุคลากร
ผู้ฝึกงาน
หรือบุคคลอื่นใดที่มีลักษณะคล้ายคลึงกัน
แต่ไม่รวมถึงผู้รับจ้างหรือผู้ให้บริการซึ่งเป็นคู่ค้าของบริษัท
รวมถึง
บุคคลที่เกี่ยวข้องกับผู้สมัครงานและบุคลากรของบริษัทฯ
และให้หมายความรวมถึงผู้ที่ข้อมูลส่วนบุคคลปรากฏในเอกสารต่าง
ๆ
ที่เกี่ยวข้องกับกระบวนการที่เกี่ยวข้อง
เช่น
บุคคลในครอบครัว
(เช่น บิดา
มารดา
คู่สมรส
และบุตร
เป็นต้น)
บุคคลที่สามารถติดต่อได้ในกรณีฉุกเฉิน
บุคคลอ้างอิง
(Reference Person) ผู้รับผลประโยชน์
และผู้ค้ำประกันการทำงาน
เป็นต้น
2.11 ลูกค้า
หมายความว่า
ผู้มาใช้บริการ
รวมถึงบุคคลที่เกี่ยวข้องกับลูกค้า
หรือลูกค้ามอบหมายให้ปฏิบัติการแทนลูกค้า
2.12 คู่ค้า
หมายความว่า
บุคคลที่เข้าเสนอราคาเพื่อขายสินค้า
และ/หรือให้บริการแก่บริษัท
หรือได้ลงทะเบียนเป็นคู่ค้ากับทางบริษัท
หรือมีความสัมพันธ์อื่นใดที่มีลักษณะคล้ายคลึงกันกับบริษัท
อาทิ
ผู้ให้บริการ
ที่ปรึกษา
ผู้เชี่ยวชาญ
นักวิชาการ
วิทยากร ผู้เข้าร่วมโครงการธุรกิจ
คู่สัญญา
หรือบุคคลอื่นใดที่มีลักษณะคล้ายคลึงกัน
เป็นต้น
3. นโยบายการคุ้มครองข้อมูลส่วนบุคคล:
ด้านการกํากับดูแลการคุ้มครองข้อมูลส่วนบุคคล
(Personal Data Protection Governance)
3.1 บริษัทจะจัดให้มีโครงสร้างการกํากับดูแลข้อมูลส่วนบุคคล
เพื่อกําหนดวิธีการและมาตรการ
ที่เหมาะสมในการปฏิบัติตามกฎหมาย
ดังนี้
· กําหนดให้มีโครงสร้างองค์กร
(Organizational Structure) รวมทั้งกําหนดบทบาท
ภารกิจ
และความรับผิดชอบของหน่วยงานและผู้ปฏิบัติงานที่เกี่ยวข้องให้ชัดเจน
เพื่อสร้างกลไก
การกํากับดูแล
การควบคุม
ความรับผิดชอบ
การปฏิบัติงาน
การบังคับใช้
และการติดตาม
มาตรการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมาย
และนโยบายการคุ้มครอง
ข้อมูลส่วนบุคคลของบริษัท
· แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท
(Data Protection Officer: DPO) โดยมีบทบาทและหน้าที่ตามที่กําหนดในนโยบายการคุ้มครองข้อมูล
ส่วนบุคคลของบริษัท
3.2
บริษัทจะจัดทำนโยบาย
(Policy) มาตรฐานการปฏิบัติงาน
(Standards) แนวปฏิบัติ
(Guidelines) ขั้นตอนปฏิบัติ
(Procedures) และเอกสารอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
ให้สอดคล้องกับกฎหมาย
และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
3.3
บริษัทจะจัดให้มีกระบวนการบริหารการปฏิบัติตามนโยบาย
(Policy Management Process) เพื่อควบคุมดูแลให้มีการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทอย่างต่อเนื่อง
3.4
บริษัทจะดำเนินการฝึกอบรมพนักงานของบริษัทอย่างสม่ำเสมอ
เพื่อให้พนักงานของบริษัท
ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล
และทำให้มั่นใจได้ว่าพนักงานของบริษัทที่เกี่ยวข้องทุกคนผ่านการฝึกอบรม
และมีความรู้ความเข้าใจในการคุ้มครองข้อมูลส่วนบุคคล
และ ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
4. นโยบายการคุ้มครองข้อมูลส่วนบุคคล:
ด้านการประมวลผลข้อมูลส่วนบุคคล
(Personal Data Processing)
4.1
บริษัทจะประมวลผลข้อมูลส่วนบุคคลทั้งในฐานะผู้ควบคุมข้อมูลส่วนบุคคล
และผู้ประมวลผล
ข้อมูลส่วนบุคคลให้ถูกต้องตามกฎหมาย
เป็นธรรม
โปร่งใส
และคํานึงถึงความถูกต้องของ
ข้อมูลส่วนบุคคล
ทั้งนี้ การกําหนดขอบเขตวัตถุประสงค์การประมวลผลข้อมูลส่วนบุคคล
และ
ระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล
ให้ทำได้เท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วย
กฎหมายและแนวทางการดำเนินธุรกิจของบริษัทอีกทั้งบริษัทจะดำเนินการรักษาความลับ
ความถูกต้องสมบูรณ์
และความปลอดภัยของข้อมูลส่วนบุคคลอย่างเพียงพอ
4.2 บริษัทจะจัดให้มีกระบวนการและการควบคุมเพื่อบริหารจัดการข้อมูลส่วนบุคคลในทุกขั้นตอน
ให้สอดคล้องกับกฎหมาย
และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
4.3
บริษัทจะจัดทำและรักษาบันทึกการประมวลผลข้อมูลส่วนบุคคล
(Records of Processing: ROP) สำหรับบันทึกรายการและกิจกรรมต่าง
ๆ
ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล
ให้สอดคล้องกับกฎหมาย
รวมทั้งจะปรับปรุงบันทึกการประมวลผลข้อมูลส่วนบุคคลเมื่อมี
การเปลี่ยนแปลงรายการหรือกิจกรรมที่เกี่ยวข้อง
4.4
บริษัทจะจัดให้มีกระบวนการที่ชัดเจนเพื่อให้มั่นใจได้ว่าการแจ้งวัตถุประสงค์การเก็บรวบรวมและ
รายละเอียดการประมวลผลข้อมูลส่วนบุคคล
(Privacy Notices) และการขอความยินยอม
จากเจ้าของข้อมูลส่วนบุคคลสอดคล้องกับกฎหมาย
รวมทั้งจัดให้มีมาตรการดูแลและตรวจสอบในเรื่องดังกล่าว
4.5
บริษัทจะจัดให้มีกลไกการตรวจสอบความถูกต้องของข้อมูลส่วนบุคคล
รวมทั้งจัดให้มีกลไก
การแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
4.6
ในกรณีที่บริษัทส่ง
โอน
หรือให้บุคคลอื่นใช้ข้อมูลส่วนบุคคล
บริษัทจะจัดทำข้อตกลงกับผู้ที่รับหรือ
ใช้ข้อมูลส่วนบุคคลนั้นเพื่อกําหนดสิทธิและหน้าที่ให้สอดคล้องกับกฎหมาย
และนโยบาย
การคุ้มครองข้อมูลส่วนบุคคลของบริษัท
4.7
ในกรณีที่บริษัทส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
บริษัทจะปฏิบัติให้สอดคล้อง
กับกฎหมาย
4.8
บริษัทจะทำลายข้อมูลส่วนบุคคลเมื่อครบกําหนดระยะเวลา
โดยปฏิบัติให้สอดคล้องกับกฎหมาย
และแนวทางการดำเนินธุรกิจของบริษัท
4.9
บริษัทจะประเมินความเสี่ยงและจัดทำมาตรการเพื่อบรรเทาความเสี่ยงและลดผลกระทบที่จะเกิดขึ้น
กับการประมวลผลข้อมูลส่วนบุคคล
5. โยบายการคุ้มครองข้อมูลส่วนบุคคล:
ด้านการรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
(Data Subject Rights) บริษัทจะจัดให้มีมาตรการ
ช่องทาง
และวิธีการเพื่อให้เจ้าของข้อมูลส่วนบุคคลใช้สิทธิของตนได้
ตามที่กฎหมายกําหนด
รวมทั้งจะดำเนินการบันทึก
และประเมินผลการตอบสนองต่อคําขอใช้สิทธิของ
เจ้าของข้อมูลส่วนบุคคล
6. นโยบายการคุ้มครองข้อมูลส่วนบุคคล:
ด้านการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
(Personal Data Security)
6.1
บริษัทจะจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเพียงพอ
รวมทั้ง
ดำเนินการป้องกันไม่ให้เกิดการรั่วไหลของข้อมูลส่วนบุคคลและการนําข้อมูลส่วนบุคคลไปใช้โดย
ไม่ได้รับอนุญาต
6.2
บริษัทจะจัดให้มีนโยบายการบริหารจัดการเหตุการณ์ผิดปกติที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
(Privacy Incident Management Policy) และแนวทางการตอบสนองต่อเหตุการณ์ผิดปกติ
(Incident Response Program) เพื่อให้สามารถระบุและจัดการกับเหตุการณ์ผิดปกติที่เกี่ยวข้องกับ
ข้อมูลส่วนบุคคลได้อย่างทันท่วงที
6.3 บริษัทจะจัดให้มีกระบวนการแจ้งเจ้าของข้อมูลส่วนบุคคล
รวมถึงเจ้าพนักงานของรัฐ
ผู้ควบคุม
ข้อมูลส่วนบุคคล
(ในกรณีที่บริษัทเป็นผู้ประมวลผลข้อมูลส่วนบุคคล
หรือเป็นผู้ควบคุมข้อมูล
ส่วนบุคคลร่วมกัน)
และบุคคลอื่น
ให้สอดคล้องกับกฎหมาย
7. นโยบายการคุ้มครองข้อมูลส่วนบุคคล:
ด้านการกํากับให้เกิดการปฏิบัติตามมาตรการคุ้มครอง
ข้อมูลส่วนบุคคล
(Personal Data Protection Compliance)
7.1
บริษัทจะจัดให้มีกระบวนการติดตามในกรณีที่กฎหมายเปลี่ยนแปลงไป
และปรับปรุงมาตรการ
คุ้มครองข้อมูลส่วนบุคคลให้ทันสมัยและสอดคล้องกับกฎหมายอยู่เสมอ
7.2 บริษัทจะจัดให้มีการทบทวนและปรับปรุงนโยบาย
(Policy) มาตรฐานการปฏิบัติงาน
(Standards) แนวปฏิบัติ
(Guidelines) ขั้นตอนปฏิบัติ
(Procedures) และเอกสารอื่นที่เกี่ยวข้องกับการคุ้มครอง
ข้อมูลส่วนบุคคลเป็นประจำ
เพื่อให้ทันสมัยสอดคล้องกับกฎหมายและสถานการณ์ในแต่ละช่วงเวลา
8. บทบาท
หน้าที่
และความรับผิดชอบ
8.1
คณะกรรมการบริษัท มีบทบาท
หน้าที่
และความรับผิดชอบดังต่อไปนี้
(1)
กํากับให้เกิดโครงสร้างการกํากับดูแลข้อมูลส่วนบุคคล
และการควบคุมภายในที่เกี่ยวข้อง
ของบริษัทเพื่อให้เกิดการปฏิบัติตามกฎหมาย
และนโยบายการคุ้มครองข้อมูลส่วนบุคคล
ของบริษัท (2)
กํากับดูแลและสนับสนุนให้บริษัทดำเนินการคุ้มครองข้อมูลส่วนบุคคลให้มีประสิทธิภาพ
และสอดคล้องกับกฎหมาย
8.2
ผู้บริหาร
มีบทบาท
หน้าที่
และความรับผิดชอบในการติดตามควบคุมให้หน่วยงานที่ดูแลปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทและส่งเสริมการสร้างความตระหนักรู้ให้เกิดขึ้น
กับพนักงานของบริษัท
8.3
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท
(DPO) มีบทบาท
หน้าที่
และความรับผิดชอบ
ตามที่กฎหมายกําหนด
ซึ่งรวมถึงหน้าที่ดังต่อไปนี้
· รายงานสถานะการคุ้มครองข้อมูลส่วนบุคคลให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบ
อย่างสม่ำเสมอ
และจัดทำข้อเสนอแนะเพื่อปรับปรุงการคุ้มครองข้อมูลส่วนบุคคลของบริษัทให้ทันสมัยและสอดคล้องกับกฎหมายอยู่เสมอ
· ให้คำแนะนําพนักงานของบริษัทเกี่ยวกับการปฏิบัติตามกฎหมาย
และนโยบายการคุ้มครอง
ข้อมูลส่วนบุคคลของบริษัท
· ตรวจสอบการดำเนินงานของหน่วยงานในบริษัทให้เป็นไปตามกฎหมาย
และนโยบายการ
คุ้มครองข้อมูลส่วนบุคคลของบริษัท
· พนักงานของบริษัทมีบทบาท
หน้าที่
และความรับผิดชอบดังต่อไปนี้
· ปฏิบัติให้สอดคล้องกับนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
มาตรฐานการ ปฏิบัติงาน
(Standards) แนวปฏิบัติ
(Guidelines) ขั้นตอนปฏิบัติ
(Procedures) และ
เอกสารอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
· รายงานเหตุการณ์ผิดปกติที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
และการไม่ปฏิบัติตาม
กฎหมาย
และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทให้ผู้บังคับบัญชาทราบ
9. โทษของการไม่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทการไม่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทอาจมีความผิดและถูกลงโทษ
ทางวินัย
รวมทั้งอาจได้รับโทษตามที่กฎหมายกําหนด
นโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฉบับนี้
10. หน้าที่และความรับผิดชอบ
10.1 ผู้บริหาร
· กำหนดนโยบายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
· กำกับดูแลให้มีการนำนโยบายไปปฏิบัติอย่างเป็นรูปธรรม
สอดคล้องกับกฎหมาย
และมาตรฐานสากล
· จัดให้มีมาตรการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลให้เหมาะสม
โดยให้สอดคล้องกับนโยบาย
กฎหมายและมาตรฐานสากล
· จัดให้มีโครงสร้างผู้รับผิดชอบเพื่อดูแลการดำเนินงานให้เป็นไปตามมาตรการที่กำหนดไว้
· จัดทำประกาศความเป็นส่วนตัวสำหรับผู้มาสมัครงาน
พนักงาน
ลูกค้า
คู่ค้าธุรกิจ
และผู้ที่เข้ามาในพื้นที่ของบริษัททั้งหมด
· กำกับดูแลให้มีการปฏิบัติตามนโยบาย
แนวปฏิบัติ
ตลอดจนพัฒนาปรับปรุงวิธีการปฏิบัติให้มีประสิทธิภาพ
รวมทั้งให้มีการรายงานผลอย่างสม่ำเสมอ
10.2 ผู้ควบคุมข้อมูลส่วนบุคคล
· กำกับ
ดูแล
ควบคุมการดำเนินการให้เป็นไปตามนโยบายคุ้มครองข้อมูลส่วนบุคคล
(Personal Data Protection Policy)
· จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม
เพื่อป้องกันการสูญหาย
เข้าถึง ใช้
เปลี่ยนแปลง
แก้ไข
หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ
และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไป
เพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม
· ในกรณีที่ต้องให้ข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล
ต้องดำเนินการเพื่อป้องกันมิให้ผู้นั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ
· จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา
หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น
หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ
หรือที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม
· แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายในเจ็ดสิบสองชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้
เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล
ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล
ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย
ทั้งนี้การแจ้งดังกล่าวและข้อยกเว้นให้เป็นไปตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด
10.3 ผู้ประมวลผลข้อมูลส่วนบุคคล
· ดำเนินการเกี่ยวกับการเก็บรวบรวม
ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น
เว้นแต่คำสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติ
· จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม
เพื่อป้องกันการสูญหาย
เข้าถึง ใช้
เปลี่ยนแปลง
แก้ไข
หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ
รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น
· จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ตามหลักเกณฑ์
10.4 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
· ให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล
รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการปฏิบัติตามพระราชบัญญัติ
· ตรวจสอบการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลรวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการเก็บรวบรวม
ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อให้เป็นไปตามพระราชบัญญัติ
· ประสานงานและให้ความร่วมมือกับสำนักงานในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม
ใช้
หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล
รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลในการปฏิบัติตามพระราชบัญญัติ
· รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่ตามพระราชบัญญัติ
10.5 พนักงาน
· กำกับดูแล
ควบคุมผู้ใต้บังคับบัญชาให้ปฏิบัติตามกฎหมาย
กฎระเบียบ
ข้อบังคับของบริษัท
รวมถึงมาตรการคุ้มครองส่วนบุคคลที่บริษัทกำหนดไว้อย่างเคร่งครัด
· ใช้ข้อมูลส่วนบุคคลอย่างระมัดระวัง
สอดคล้องตามวัตถุประสงค์ที่ได้แจ้งไว้ต่อเจ้าของข้อมูล
และตามนโยบายของบริษัท
ดำเนินการตามระเบียบข้อบังคับเกี่ยวกับการทำงานในหมวด
การเก็บรวบรวม
ใช้
เปิดเผยข้อมูลส่วนบุคคล
· แจ้งเจ้าหน้าที่ควบคุมข้อมูลส่วนบุคคลทันที
เมื่อพบการรั่วไหลหรือการละเมิดของข้อมูลส่วนบุคคล
· หากพบเห็นการกระทำที่อาจเข้าข่ายเป็นการฝ่าฝืนนโยบายฉบับนี้
ให้แจ้งผ่านช่องทางการแจ้งเบาะแสและข้อร้องเรียนของบริษัท
· เมื่อพนักงานสิ้นสุดสภาพการจ้างไม่ว่าด้วยเหตุใดก็ตาม
จะต้องลบหรือทำลายข้อมูลส่วนบุคคลที่ได้บันทึก
จัดเก็บไว้ในอุปกรณ์ส่วนตัวของพนักงานภายในวันสุดท้ายของการทำงาน
และห้ามเก็บรวบรวม
ใช้
เปิดเผยข้อมูลส่วนบุคคลดังกล่าว
11. การดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลภายในองค์กร
11.1การสำรวจกิจกรรมที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล
· สำรวจกิจกรรมที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล
ทุกแผนก/ฝ่ายที่มีการประมวลผลข้อมูลส่วนบุคคล
สำรวจกิจกรรมการทำงานที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล
และจัดทำบันทึกกิจกรรมการประมวลข้อมูลส่วนบุคคล Record of Processing Activities
(ROPA) โดยพิจารณาดังนี้
1)
ระบุข้อมูลที่เก็บรวบรวม
วัตถุประสงค์การประมวลผล
การเปิดเผยข้อมูลส่วนบุคคล
และระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล
โดยระบุรายละเอียดที่เกี่ยวข้องในแบบบันทึกกิจกรรมการประมวลข้อมูลส่วนบุคคล Record of Processing Activities
(ROPA) ที่กำหนดไว้
2)
จัดทำแผนผังวงจรชีวิตของข้อมูล
(Data Mapping) เพื่อช่วยตรวจสอบกิจกรรมการประมวลผลข้อมูลส่วนบุคคลในองค์กรให้ถูกต้องเป็นปัจจุบัน
3)
การบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล
มีความถูกต้อง
และเป็นปัจจุบัน
4)
เมื่อมีการเปลี่ยนแปลงรายละเอียดในบันทึกกิจกรรมการประมวลข้อมูลส่วนบุคคล Record of Processing Activities
(ROPA) ต้องทำการแก้ไขหรือทบทวนรายละเอียดให้สอดคล้องกับปัจจุบันอยู่เสมอ
หรือหากไม่มีการเปลี่ยนแปลงใดๆ
ให้ทบทวนอย่างน้อยปีละ
1 ครั้ง
5)
เก็บรักษาข้อมูลส่วนบุคคล
ผู้ควบคุมข้อมูลส่วนบุคคล
รวบรวมรายการกิจกรรมประมวลผลข้อมูลส่วนบุคคล
(Data Inventory) และจัดเก็บบันทึกกิจกรรมประมวลผลข้อมูลส่วนบุคคล Record of Processing Activities (ROPA) ของแต่ละแผนก/ฝ่าย
11.2 การประเมินความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูล
ตามหลักเกณฑ์การประเมินความสี่ยงและโอกาสด้านคุณภาพ
ความปลอดภัย
อาชีวอนามัย
และสิ่งแวดล้อม
11.3 การประมวลผลข้อมูลส่วนบุคคล
การประมวลผลข้อมูลส่วนบุคคล
ดังนี้
1) การเก็บรวบรวม
2) การใช้
3) การเปิดเผยหรือการเผยแพร่
4) การส่งต่อ
หรือการโอน
5) การลบ
หรือทำลาย
ทุกแผนก/ฝ่ายที่มีการประมวลผลข้อมูลส่วนบุคคล
ต้องแจ้งเจ้าของข้อมูล
เกี่ยวกับการเก็บรวบรวม
ใช้ เปิดเผย
ส่งต่อหรือโอนข้อมูลส่วนบุคคลที่เกี่ยวข้องกับเจ้าของข้อมูล
โดยมีองค์ประกอบอย่างน้อย
ดังนี้
1) ข้อมูลส่วนบุคคลที่เก็บรวบรวม
2) แหล่งที่มาของข้อมูล
3) วัตถุประสงค์การเก็บรวบรวม
การใช้ การเปิดเผย
การส่ง
หรือโอนข้อมูล
4) ระยะเวลาการเก็บข้อมูล
5) มาตรการรักษาความปลอดภัยของข้อมูล
6) สิทธิของเจ้าของข้อมูล
7) การปรับปรุงข้อมูล
8) ผู้รับผิดชอบหรือผู้ที่เกี่ยวข้อง
(ตามกฎหมายกำหนด)
เอกสารอ้างอิง: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พุทธศักราช 2562
ทุกแผนก/ฝ่ายที่มีการประมวลผลข้อมูลส่วนบุคคล
ขอความยินยอมในการเก็บรวบรวม
ใช้ เปิดเผย ส่ง
หรือโอนข้อมูลจากเจ้าของข้อมูลส่วนบุคคล
1) รูปแบบการขอความยินยอมให้เก็บรวบรวม
ใช้ เปิดเผย
ส่ง
หรือโอนข้อมูล
เช่น
(ก) แบบฟอร์มขอความยินยอม หรือหนังสือขอความยินยอม
(ข) เอกสารแนบท้ายสัญญา
(ค) บันทึกเสียงทางโทรศัพท์เพื่อขอความยินยอม
(ง) บันทึกการขอความยินยอมทางอิเล็กทรอนิกส์
เช่น google
form , application , เว็บไซต์เป็นต้น
(จ) ขอความยินยอมโดยช่องทางอื่น
ๆ ตามความเหมาะสม
2) รายละเอียดในการขอความยินยอมให้ประมวลผลข้อมูลส่วนบุคคล
โดยมีข้อความที่อ่านแล้วเข้าใจได้โดยง่าย
และต้องไม่เป็นการหลอกลวง
3) ผู้เก็บข้อมูล
ต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม
ใช้หรือเปิดเผยข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบ
4) เจ้าของข้อมูลส่วนบุคคลให้ความยินยอมในการเก็บรวบรวม
ใช้หรือเปิดเผยข้อมูลส่วนบุคคล
ในการขอความยินยอมให้บริษัทใช้ข้อมูลส่วนบุคคลทั้งในรูปแบบเอกสาร
หรือรูปแบบอิเล็กทรอนิกส์
5) เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเมื่อใดก็ได้
ถ้าไม่มีข้อจำกัดสิทธิ
เช่น
มีกฎหมายที่กำหนดให้เก็บรวบรวมข้อมูลส่วนบุคคลนั้นไว้ก่อน
· การเก็บรวบรวมข้อมูลส่วนบุคคล
1)
เก็บข้อมูลส่วนบุคคลอย่างจำกัด
เท่าที่จำเป็นแก่การใช้งานตามวัตถุประสงค์ที่ได้ระบุในแบบบันทึกกิจกรรมการประมวลข้อมูลส่วนบุคคล Record of Processing Activities
(ROPA) และได้แจ้งแก่เจ้าของข้อมูลส่วนบุคคล
2)
โดยปกติจะไม่จัดเก็บข้อมูลส่วนบุคคลที่เป็นข้อมูลที่อ่อนไหวหรือข้อมูลที่ก่อให้เกิดการเลือกปฏิบัติโดยไม่เป็นธรรม
หรือความไม่เท่าเทียมกัน
ซึ่งอาจส่งผลกระทบต่อเจ้าของข้อมูล
เว้นแต่เป็นการจัดเก็บตามกฎหมาย
3)
บริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลในระยะเวลาเท่าที่จำเป็น
เพื่อให้บรรลุวัตถุประสงค์ที่ได้ระบุในแบบบันทึกกิจกรรมการประมวลข้อมูลส่วนบุคคล Record of Processing Activities
(ROPA) และได้แจ้งแก่เจ้าของข้อมูลส่วนบุคคล
ตามระยะเวลาที่มีสัญญา
หรือนิติสัมพันธ์ตามกฎหมายที่บังคับใช้ตามกฎหมายที่บังคับใช้ระหว่างกัน
เว้นแต่กฎหมายจะอนุญาตให้มีระยะเวลาการเก็บรักษาที่นานขึ้น
4)
แหล่งที่มาของข้อมูลที่เก็บรวบรวม
(ก) ข้อมูลที่ได้จากเจ้าของข้อมูลโดยตรง โดยได้ส่งมอบให้ไม่ว่าในขั้นตอนใด
ๆ
ระหว่างการติดต่อประสานงานกับบริษัท
(ข) ข้อมูลที่บริษัทได้รับมาไม่ว่าโดยวิธิใด
ๆ
ในระหว่างดำเนินการตามวัตถุประสงค์ของการประมวลผล
เช่น
การสนทนาทางโทรศัพท์หรือประชุมผ่านทางวิดีโอ
การพูดคุย
การประชุม
เป็นต้น
(ค) ข้อมูลที่ได้รับจากรูปถ่ายหรือภาพเคลื่อนไหวจากอุปกรณ์ต่าง
ๆ
ในบริเวณพื้นที่ของบริษัทฯ
เช่น
กล้องวงจรปิด
อุปกรณ์บันทึกภาพ
เป็นต้น
(ง) ข้อมูลที่ได้รับจากบุคคลที่สาม
(จ) ข้อมูลส่วนบุคคลที่ได้ให้กับบริษัทผ่านช่องทางออนไลน์
เช่น
แอปพลิเคชันบนโทรศัพท์มือถือ
หรือเว็บไซต์
ของบริษัท
เป็นต้น
· การใช้
การเปิดเผย
และการส่งหรือการโอนข้อมูลส่วนบุคคล
1) การใช้
และการเปิดเผยข้อมูลส่วนบุคคล
ให้เป็นไปตามวัตถุประสงค์ที่ได้ระบุในแบบบันทึกกิจกรรมการประมวลข้อมูลส่วนบุคคล Record of Processing Activities
(ROPA) และได้แจ้งแก่เจ้าของข้อมูล
2) การส่งหรือโอนข้อมูลส่วนบุคคลต้องได้รับการร้องขอหรือให้ความยินยอมจากเจ้าของข้อมูล
3) การส่งหรือการโอนข้อมูลส่วนบุคคลระหว่างประเทศสามารถทำได้ในกรณีดังต่อไปนี้
(ก) เจ้าของข้อมูลส่วนบุคคลรับทราบถึงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของประเทศปลายทางที่อาจมีไม่เพียงพอ
พร้อมทั้งได้ให้การยินยอม
(ข) การส่งหรือการโอนข้อมูลส่วนบุคคลเป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา
หรือเป็นการดำเนินการตามคำร้องขอของเจ้าของข้อมูลส่วนบุคคล
(ค) การส่งหรือการโอนข้อมูลส่วนบุคคลได้ทำเพื่อป้องกันหรือระงับอันตรายต่อชีวิต
หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคล
ในกรณีที่เจ้าของข้อมูลส่วนบุคคลไม่สามารถให้การยินยอมได้
(ง) ทำเอกสาร Data sharing agreement กับผู้รับการแบ่งปันข้อมูลส่วนบุคคล
4) กรณีจ้างผู้ประมวลผลข้อมูล
ดังนี้
(ก) ก่อนทำการจ้างผู้ประมวลผลข้อมูล
บริษัทต้องประเมินระบบการคุ้มครองข้อมูลส่วนบุคคลของผู้รับจ้าง
หากผู้รับจ้างประมวลผลไม่มีระบบการป้องกัน
หรือไม่เพียงพอ
การทำสัญญาจ้างผู้ประมวลผลต้องให้ผู้ประมวลผลปฏิบัติตามมาตรการที่บริษัทกำหนด
(ข) ในสัญญาจ้างต้องระบุวัตถุประสงค์
วิธีการเก็บข้อมูล
การใช้
การเปิดเผย
การส่งหรือการโอนข้อมูล
การลบหรือทำลายข้อมูล
และการแจ้งเจ้าของข้อมูลส่วนบุคคล
(ค) คู่สัญญาต้องลงนามคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามที่กฎหมาย
หรือระเบียบที่บริษัทกำหนด
(ง) เมื่อมีการจ้างผู้ประมวลผล
ต้องทำการควบคุมการประมวลผลตามที่จ้าง
และการควบคุมการปฏิบัติให้เป็นไปตามแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลที่กำหนด
(จ) เมื่อครบกำหนดการเก็บรักษาข้อมูล
ต้องควบคุมให้ผู้รับประมวลผลทำการทำลายข้อมูลตามกำหนด
(ฉ)
จะต้องดำเนินการและ
สัญญาประมวลผลข้อมูลส่วนบุคคล
เอกสารตามขั้นตอนของบริษัท
(ระบุไว้ในงานจัดซื้อ
จัดจ้าง)
· การเก็บรักษาข้อมูลส่วนบุคคล
เก็บรักษาข้อมูลส่วนบุคคล
ตามมาตรการรักษาความปลอดภัยในการจัดเก็บข้อมูลส่วนบุคคล
ทั้งข้อมูลที่อยู่ในรูปแบบเอกสาร
และข้อมูลที่อยู่ในรูปแบบอิเล็กทรอนิกส์
เพื่อป้องกันการสูญหาย
การเข้าถึง
การใช้ การดัดแปลง
การแก้ไข
หรือการเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต
รวมถึงป้องกันไม่ให้เกิดการรั่วไหลของข้อมูลส่วนบุคคล
1) การรักษาความปลอดภัยของข้อมูลส่วนบุคคล
ครอบคลุมอย่างน้อย 3 ประเด็นดังนี้
(ก) การธำรงไว้ซึ่งความลับ
(confidentiality)
(ข) ความถูกต้องครบถ้วน
(integrity)
(ค) สภาพพร้อมใช้งาน
(availability) ของข้อมูลส่วนบุคคล
2) การรักษาความปลอดภัยของข้อมูลส่วนบุคคล
สำหรับข้อมูลที่อยู่ในรูปแบบเอกสาร
(Hard Copy)
(ก) การเก็บข้อมูลในรูปแบบเอกสาร
(Hard Copy) ที่ได้รับจากเจ้าของข้อมูล
ต้องรวบรวม ทำดัชนี
เก็บเข้าแฟ้ม
เก็บรวบรวมไว้ในกล่องเก็บเอกสาร
หรือตู้เซฟ
หรือตู้เก็บเอกสารที่สามารถปิดล็อคได้อย่างแน่นหนา
(ข) กำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน
(user responsibilities) เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต
การเปิดเผย
การล่วงรู้
หรือการลักลอบทำสำเนาข้อมูลส่วนบุคคล
การลักขโมยอุปกรณ์จัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล การลักลอบนำอุปกรณ์เข้าออก
(ค) มีการควบคุมการเข้าถึง
เพื่อมั่นใจว่าข้อมูลในบันทึกจะได้รับอนุญาตให้เข้าดู
ค้นหา
ลงบันทึก
แก้ไขปรับปรุง
และการลบโดยผู้มีสิทธิเท่านั้น
(ง) จัดเก็บเอกสาร
และบันทึกข้อมูลส่วนบุคคลในสถานที่เหมาะสม
ป้องกันการสูญหาย
หรือป้องกันความเสียหายที่จะเกิดกับเอกสารหรือบันทึก
3) การรักษาความปลอดภัยของข้อมูลส่วนบุคคล
สำหรับข้อมูลที่อยู่ในรูปแบบอิเล็กทรอนิกส์ ให้ปฏิบัติตามตามระเบียบปฏิบัติการจัดการเทคโนโลยีสารสนเทศ
นโยบายความมั่นคง
ความปลอดภัยด้านสารสนเทศ
และแผนฉุกเฉินด้านเทคโนโลยีสารสนเทศ
(ก) การจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง
เปลี่ยนแปลง
ลบ
หรือถ่ายโอนข้อมูลส่วนบุคคล
ให้สอดคล้องเหมาะสมกับวิธีการและสื่อที่ใช้ในการเก็บรวบรวม
ใช้หรือเปิดเผยข้อมูลส่วนบุคคล
(ข) การบริหารจัดการการเข้าถึงของผู้ใช้งาน
(user access management) เพื่อควบคุมการเข้าถึงข้อมูลส่วนบุคคลเฉพาะผู้ที่ได้รับอนุญาต
ตามระดับสิทธิการใช้งาน
ได้แก่
การนำเข้า
เปลี่ยนแปลง
แก้ไข
เปิดเผย
ตลอดจนการลบทำลาย
และป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต
การเปิดเผย
การล่วงรู้
หรือการลักลอบทำสำเนาข้อมูลส่วนบุคคล
การลักขโมยอุปกรณ์จัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล การลักลอบนำอุปกรณ์เข้าออก
(ค) จัดให้มีระบบสำรองและกู้คืนข้อมูล
เพื่อให้ระบบ
และ/หรือ
บริการต่าง ๆ
ยังสามารถดำเนินการได้อย่างต่อเนื่อง
· การลบ
หรือการทำลายข้อมูลส่วนบุคคล
1) HOD ทุกแผนก/ฝ่ายที่มีการประมวลข้อมูลส่วนบุคคล
จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
ดังนี้
(ก) พ้นระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคลตามนโยบายที่บริษัทประกาศไว้
(ข) หมดความจำเป็นในการใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์
(ค) เจ้าของข้อมูลส่วนบุคคลถอนความยินยอมในการเก็บรวบรวม
ใช้
หรือเปิดเผยข้อมูลส่วนบุคคล
และบริษัท
ไม่มีอำนาจตามกฎหมายที่จะเก็บรวบรวม
ใช้
หรือเปิดเผยข้อมูลส่วนบุคคลนั้นได้ต่อไป
(ง) เป็นการรวบรวมข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมาย
2) วิธีการลบ
ทำลายข้อมูลส่วนบุคคล
(ก) ข้อมูลส่วนบุคคลที่เป็นเอกสาร
เช่น ย่อยเยื่อเอกสาร
ย่อยเอกสารให้เป็นชิ้นเล็กๆ
ต้มเอกสาร
เผาเอกสาร เอกสารแนวนอนให้ย่อยเอกสารแนวตั้ง
เอกสารแนวตั้งย่อยเอกสารแนวนอน
ที่ไม่สามารถระบุหรือเชื่อมโยงไปยังเจ้าของข้อมูลส่วนบุคคลได้
เป็นต้น
(ข) ข้อมูลส่วนบุคคลที่เป็นข้อมูลอิเล็กทรอนิกส์
เช่น
ทำลายเอกสารดิจิทัลในฐานข้อมูล
เขียนทับฮาร์ดไดรฟ์
ล้างฮาร์ดไดรฟ์
ทำลายฮาร์ดไดรฟ์ทางกายภาพ
ลบอีเมล์อย่างถาวร
ลบประวัติการท่องอินเตอร์เน็ต
รวมถึงลบให้ครบถ้วนทุกช่องทางที่ได้จัดเก็บไว้
เป็นต้น
3) ทุกแผนก/ฝ่ายที่มีการประมวลข้อมูลส่วนบุคคล
ติดตามสม่ำเสมอ
(เช่น
ทุกสัปดาห์
หรือ
ทุกเดือน)
ว่าข้อมูลส่วนบุคคลที่อยู่ในความดูแลของตนนั้น
(ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล)
มีรายการหรือมีชุดข้อมูลใดที่พ้นกำหนดระยะเวลาการเก็บรักษาหรือไม่
(ตามที่แจ้งเจ้าของข้อมูลส่วนบุคคล
(Data Subject) ไว้ในประกาศความเป็นส่วนตัว
(Privacy Notice) หรือ
ตามที่ขอความยินยอมไว้)
ทั้งนี้ เพื่อดำเนินการลบทำลายหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้
ตามแต่กรณี
4) การลบทำลายข้อมูล
หรือ
การทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้
อาจยกเว้นไม่กระทำก็ได้ในกรณีผู้ควบคุมข้อมูลส่วนบุคคลมีเหตุผลความจำเป็นที่เหนือกว่าสิทธิของเจ้าของข้อมูล
เช่น
(ก) เพื่อวัตถุประสงค์การจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ
การศึกษาวิจัยหรือสถิติ
(ข) เพื่อการสร้างประโยชน์สาธารณะตามหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลรายนั้น
(ค) เพื่อประเมินความสามารถในการทำงานของลูกจ้าง
การวินิจฉัยโรคทางการแพทย์
การให้บริการด้านสุขภาพหรือด้านสังคม
การรักษาทางการแพทย์
การจัดการด้านสุขภาพ
หรือระบบและการให้บริการด้านสังคมสงเคราะห์
(ง) การป้องกันด้านสุขภาพจากโรคติดต่ออันตรายหรือโรคระบาดที่อาจติดต่อหรือแพร่เข้ามาในราชอาณาจักร
หรือการควบคุมมาตรฐานหรือคุณภาพของยา
เวชภัณฑ์
หรือเครื่องมือแพทย์
11.4 การขอใช้สิทธิของเจ้าของข้อมูล
· สิทธิของเจ้าของข้อมูลส่วนบุคคล
ดังนี้
1) สิทธิที่จะได้รับการแจ้งให้ทราบ
2) สิทธิในการเข้าถึง
หรือขอรับสำเนาข้อมูลส่วนบุคคลของตนเอง
3) สิทธิในการแก้ไขข้อมูลส่วนบุคคลของตนเองให้ถูกต้อง
ให้เป็นปัจจุบัน
ให้สมบูรณ์
และไม่ก่อให้เกิดความเข้าใจผิด
4) สิทธิในการขอให้ลบ
ทำลาย
ระงับการใช้ชั่วคราว
หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้
5) สิทธิในการเพิกถอนความยินยอมให้ประมวลผลข้อมูลส่วนบุคคลของตนเอง
ทั้งนี้ การเพิกถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม
ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมไว้แล้ว
6) สิทธิในการโอนย้ายข้อมูลส่วนบุคคล
7) สิทธิในการคัดค้านการเก็บรวบรวม
ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของตนเอง
8) สิทธิที่จะร้องเรียนต่อบริษัท
หรือคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
หากท่านเห็นว่าสิทธิใด
ๆ ของท่านได้ถูกบริษัทละเมิด
กรณีการใช้สิทธิดังกล่าวข้างต้น
จำเป็นต้องคิดค่าบริการใด
ๆ
ที่เกี่ยวข้องและจำเป็นต่อการเข้าดำเนินงานเกี่ยวกับข้อมูลส่วนบุคคล
จะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลหรือผู้ร้องขอทราบ
· ช่องทางการติดต่อขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
(Data Protection Officer)
สถานที่ติดต่อ: 386
ซอยลาดพร้าว
94
ถนนลาดพร้าว
แขวงพลับพลา
เขตวังทองหลาง
กรุงเทพมหานคร
อีเมล: dpo@innovex.co.th
โทรศัพท์: (+66)2-530-4995
11.5 การจัดการข้อร้องเรียน
กรณีละเมิดความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคล
· ประเภทของการละเมิดข้อมูลส่วนบุคคล
1) การประมวลผลข้อมูลส่วนบุคคลอย่างผิดกฎหมาย
2) การใช้ข้อมูลส่วนบุคคลในทางที่ผิด
3) การเข้าถึง
ใช้ เปิดเผย
ส่งหรือโอนข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต
4) การลบหรือทำลายข้อมูลส่วนบุคคลโดยไม่ได้รับ
· กรณีพบบริษัท
หรือพนักงานของบริษัทฝ่าฝืน
หรือไม่ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคล
หรือผู้แทนของเจ้าของข้อมูลส่วนบุคคล
สามารถร้องเรียน
หรือแจ้งการละเมิดข้อมูลส่วนบุคคล
โดยบันทึกในแบบฟอร์มร้องเรียนการประมวลผลข้อมูลส่วนบุคคล
(Personal Data Processing Claim
Form) พร้อมระบุรายละเอียดที่เกี่ยวข้องให้ครบถ้วน
ภายใน 24
ชั่วโมงหลังจากที่พนักงานทราบ แจ้งไปยังเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
มีรายละเอียดที่บริษัทกำหนดหรือจะต้องแจ้งดังนี้
1) ชื่อ
นามสกุล
หมายเลขบัตรประชาชน
หรือหมายเลขหนังสือเดินทางของผู้ยื่นคำร้อง
2) สำเนาที่ชัดเจนของบัตรประชาชนหรือหนังสือเดินทางของผู้ยื่นคำร้อง
3) รายละเอียดการติดต่อ
4) ชื่อเจ้าหน้าที่
พนักงานที่เกี่ยวข้อง
ในการเก็บรวบรวมข้อมูลส่วนบุคคล
5) รายละเอียดการร้องเรียน
รวมถึงช่วงเวลาที่สงสัย
หรือพบว่ามีการละเมิดข้อมูลส่วนบุคคล
6) เอกสารหลักฐานประกอบการร้องเรียน
ช่องทางการร้องเรียนหรือแจ้งเบาะแสการละเมิดข้อมูลส่วนบุคคล
แจ้งได้ที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ตามรายละเอียดข้างต้น
· การเตรียมแผนรับมือการละเมิดข้อมูลส่วนบุคคล
1) จำกัดความเสียหาย
2) ประเมินผลกระทบ
3) กำหนดผู้รับผิดชอบรวมทั้งบทบาทและหน้าที่
4) จัดการเหตุตั้งแต่ต้นจนจบ
ครอบคลุมข้อกำหนดทางกฎหมาย
5) แจ้งผู้ที่ได้รับผลกระทบและหน่วยงานกำกับที่เกี่ยวข้อง
6) ทบทวนแนวทางการรับมือและหาวิธีป้องกันไม่ให้เกิดขึ้นอีก
· ช่องทางการติดต่อสำนักงานคุ้มครองข้อมูลส่วนบุคคล
(สคส.) ดังนี้
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
(สำนักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม)
เลขที่
120 หมู่ 3
ศูนย์ราชการเฉลิมพระเกียรติ
80 พรรษาฯ
อาคารรัฐประศาสนภักดี
(อาคารบี)
ชั้น 7 ถนนแจ้งวัฒนะ
แขวงทุ่งสองห้อง
เขตหลักสี่
กรุงเทพฯ 10210
เบอร์โทรศัพท์ +66(0) 2 142 1033
อีเมล์
: pdpc@mdes.go.th
11.6 การตรวจสอบภายในภายในองค์กร
บริษัทแต่งตั้งคณะกรรมการตรวจสอบภายในองค์กร
เป็นผู้รับผิดชอบในการตรวจสอบการคุ้มครองข้อมูลส่วนบุคคล
11.7 การทบทวนมาตรการ
และการรายงานผลการดำเนินงานต่อผู้บริหาร
บริษัท
จะทำการทบทวนนโยบาย
แนวทางปฏิบัติและคู่มือระบบบริหารจัดการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้อย่างน้อยปีละ
1 ครั้ง
และหรือเมื่อมีการเปลี่ยนแปลงกฎหมายลำดับรอง
กฎหมายที่เกี่ยวข้อง
เพื่อให้สอดคล้องกับสภาวการณ์ที่เกิดขึ้น
และการเปลี่ยนแปลงไปหรือเมื่อมีการเปลี่ยนแปลงกฎหมาย
หรือจำเป็นต้องเปลี่ยนแปลงหลักเกณฑ์ที่เป็นสาระสำคัญที่กำหนดไว้ในนโยบาย
แนวทางปฏิบัติ
และคู่มือระบบบริหารจัดการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้
ประกาศเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
(Privacy Notice)
สำหรับกระบวนการที่เกี่ยวข้องกับลูกค้าหรือผู้ใช้บริการ
1. บททั่วไป
เพื่อเป็นการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 กฎหมายที่เกี่ยวข้องและกฎหมายลำดับรองที่เกี่ยวข้อง บริษัท อินโนเว็ก
โฮลดิ้ง จำกัด (“บริษัทฯ”) จึงจัดทำประกาศเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
(Privacy
Notice) ของบริษัทฯ
(“ประกาศฯ”) ไว้เพื่ออธิบายให้ท่านทราบถึงวิธีการที่บริษัทฯ
ปฏิบัติต่อข้อมูลส่วนบุคคลของท่าน
โดยมีรายละเอียดดังต่อไปนี้
2. คำนิยาม
“ข้อมูลส่วนบุคคล” หมายถึง
ข้อมูลเกี่ยวกับบุคคลธรรมดาซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม
“ข้อมูลส่วนบุคคลละเอียดอ่อน” หมายถึง ข้อมูลส่วนบุคคลที่มีความเสี่ยงอาจถูกนำไปสู่การเลือก ปฏิบัติอย่างไม่เป็นธรรม
ในที่นี้หมายถึง
เชื้อชาติ
ศาสนา
พฤติกรรมทางเพศ
ประวัติอาชญากรรม
ข้อมูลสุขภาพ
ความพิการ
ข้อมูลพันธุกรรมข้อมูลชีวภาพ
หรืออื่นๆ
ตามที่กฎหมายกำหนด
“เจ้าของข้อมูล” หมายถึง
บุคคลธรรมดาที่ข้อมูลส่วนบุคคลนั้น
ระบุไปถึง ไม่ว่าทางตรงหรือทางอ้อม
“ลูกค้าหรือผู้ใช้บริการ” หมายถึง บุคคลที่สนใจและหรือซื้อสินค้าหรือบริการ
โดยการสอบถามราคาสินค้าหรือบริษัท และ/หรือบุคคลที่เป็นตัวแทนของนิติบุคคล
หรือมีความสัมพันธ์อื่นใดที่มีลักษณะคล้ายคลึงกัน
“การประมวลผล” หมายถึง
การดำเนินการใดๆ
ต่อข้อมูลส่วนบุคคล
หรือชุดข้อมูลส่วนบุคคล
ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่
เช่น
เก็บรวบรวม บันทึก
เก็บรักษา
เปลี่ยนแปลงหรือปรับเปลี่ยน
รับ ใช้
เปิดเผยด้วยการส่งต่อ
เผยแพร่
รวมถึงการลบหรือทำลายใดๆ
หรือกระทำการอื่นซึ่งทำให้เกิดความพร้อมใช้งาน
“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง
บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม
ใช้ หรือ
เปิดเผยข้อมูลส่วนบุคคล
ในที่นี้หมายถึง
บริษัทฯ
หน่วยงาน
พนักงานที่รับผิดชอบในข้อมูลส่วนบุคคลนั้น
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวมใช้
หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล
ในที่นี้หมายถึง
คู่ค้า ผู้มีส่วนได้ส่วนเสียกับบริษัทฯ
หรือบริษัทภายนอกที่บริษัทได้ว่าจ้าง
“เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” หมายถึง
บุคคลซึ่งบริษัทแต่งตั้งให้ทำหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562
“การแฝงข้อมูล” หมายถึง การประมวลผลข้อมูลส่วนบุคคลในลักษณะที่ข้อมูลส่วนบุคคลไม่สามารถระบุตัวเจ้าของข้อมูลได้หากปราศจากการใช้ข้อมูลเพิ่มเติมประกอบ
2. ประเภทของบุคคลที่บริษัทฯ
ทำการเก็บรวบรวมข้อมูลส่วนบุคคล
ประเภทของบุคคลที่บริษัทฯ ข้อมูลส่วนบุคคลเกี่ยวกับลูกค้าหรือผู้ใช้บริการ
และข้อมูลส่วนบุคคลเกี่ยวกับบุคคลทั่วไป
ได้แก่ การเก็บรวบรวมโดยอัตโนมัติจากการใช้คุกกี้
(Cookies) หรือเทคโนโลยีอื่น
ๆ หรือได้รับมาจากบุคคลภายนอก
เช่น ผู้ที่ถูกบันทึกภาพโดยกล้องวงจรปิด
(CCTV) และผู้ที่เข้าเว็บไซต์ของบริษัทฯ
เป็นต้น
3. แหล่งที่ได้มาในการเก็บรวบรวมและรับข้อมูลส่วนบุคคลของท่าน
บริษัทฯ
อาจจะได้มาซึ่งข้อมูลส่วนบุคคลของทางตรงหรือโดยทางอ้อมจากแหล่งสาธารณะอื่นๆ
เช่นจาก
โซเชียลมีเดีย
หรือจากบุคคลที่สาม
ท่านกรอกแบบฟอร์มต่าง
ๆ
ผ่านเว็บไซต์ของบริษัทฯ
หรือช่องทางอื่น
ในการสอบถามสินค้าหรือบริการเมื่อท่านเข้าทำสัญญาเมื่อท่านสอบถามข้อมูล
ให้ความเห็น
หรือคำติชม
หรือส่งข้อร้องเรียนต่อบริษัทฯ
ทางโทรศัพท์
อีเมล
หรือโดยวิธีการอื่นใด
บางกรณีบริษัทได้เก็บรวบรวมข้อมูลของท่านไว้ก่อนวันที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลในส่วนที่เกี่ยวข้องกับการเก็บรวบรวม
ใช้
หรือเปิดเผยข้อมูลส่วนบุคคลมีผลใช้บังคับบริษัทฯ
จะเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลของท่านต่อไปตามวัตถุประสงค์เดิมที่บริษัทฯ
ได้แจ้งไว้แก่ท่านในการเก็บรวบรวมข้อมูลส่วนบุคคลซึ่งท่านสามารถใช้สิทธิ์ของเจ้าของข้อมูลส่วนบุคคลของท่าน
โดยติดต่อมายังบริษัทฯ
ตามที่อยู่ที่บริษัทฯแจ้งไว้ในประกาศฉบับนี้
4. ข้อมูลส่วนบุคคลที่ถูกเก็บรวบรวม
ข้อมูลส่วนบุคคลที่บริษัทฯ
จะเก็บรวบรวมและประมวลผลภายใต้ประกาศฯ
ฉบับนี้
ได้แก่ ข้อมูลส่วนบุคคลทั่วไป
เช่น ชื่อ
นามสกุล
หมายเลขบัตรประจำตัวประชาชน
ลายมือชื่อ ข้อมูลส่วนบุคคลละเอียดอ่อน
เช่น ข้อมูลสุขภาพ
ใบรับรองแพทย์
โรคต่างๆ
เชื้อชาติ
ศาสนา หากเป็นการเก็บข้อมูลส่วนบุคคลละเอียดอ่อนบริษัทฯจะขอความยินยอมจากท่านตามกฎหมาย
5. วัตถุประสงค์และฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคล
5.1 บริษัทฯ
ประมวลผลข้อมูลส่วนบุคคลของท่าน
เพื่อวัตถุประสงค์ต่าง
ๆ
ภายใต้ฐานทางกฎหมาย
ดังต่อไปนี้
5.1.1 วัตถุประสงค์เกี่ยวกับสอบถามข้อมูลและให้ข้อมูลกับท่านในฐานะลูกค้าหรือผู้ใช้บริการ
โดยบริษัทฯ
ใช้ฐานประโยชน์โดยชอบด้วยกฎหมายในการประมวลผลสำหรับวัตถุประสงค์นี้
5.1.2 ในกรณีที่ท่านได้ทำธุรกรรมซื้อ–ขายกับบริษัทฯ
บริษัทฯ
อาจจะขึ้นทะเบียนลูกค้ารายใหม่
เพื่อการติดต่อสื่อสาร
ใช้ฐานสัญญา
เพื่อเป็นการปฏิบัติตามสัญญาในการดำเนินการ
5.1.3 วัตถุประสงค์เกี่ยวกับการปฏิบัติตามกฎหมาย
เช่น
นำส่งข้อมูลให้หน่วยงานของรัฐ
กรมสรรพากร
บริษัทฯ
ใช้ฐานกฎหมาย
เพื่อเป็นการปฏิบัติตามกฎหมาย
5.1.4 วัตถุประสงค์เพื่อความปลอดภัย
เพื่อความปลอดภัยในชีวิตและทรัพย์สินของท่าน
บริษัทฯ
ใช้ฐานกฎหมายและฐานประโยชน์โดยชอบด้วยกฎหมายในการประมวลผลข้อมูลส่วนบุคคลของท่าน
5.1.5 วัตถุประสงค์เพื่อประชาสัมพันธ์
เพื่อใช้ในการประชาสัมพันธ์ข่าวสาร
ข้อมูลของบริษัทฯ
บริษัทฯ
จะแจ้งให้ท่านทราบและขอความยินยอมจากท่านก่อน
บริษัทฯ
ใช้ฐานความยินยอม
5.1.6 วัตถุประสงค์เพื่อการวิเคราะห์
ปรับปรุงคุณภาพและผลิตภัณฑ์
หากเป็นการใช้ข้อมูลส่วนบุคคลของท่านบริษัทฯ
จะแจ้งให้ท่านทราบและขอความยินยอมจากท่านก่อน
บริษัทฯ
ใช้ฐานความยินยอม
5.2 เนื่องจากข้อมูลส่วนบุคคลของท่านที่บริษัทฯ
บางกรณีบริษัทฯ
มีความจำเป็นในการประมวลผลข้อมูลส่วนบุคคลของท่านตามกฎหมาย
บริษัทจะดำเนินการประมวลผลเพื่อวัตถุประสงค์ที่กำหนดตามข้อ 5.1 ข้างต้นในส่วนที่มีความเกี่ยวเนื่องกับการปฏิบัติตามกฎหมายหรือสัญญาหรือมีความจำเป็นเพื่อเข้าทำสัญญากับท่าน
เป็นข้อมูลที่จำเป็นต่อการบรรลุวัตถุประสงค์ดังกล่าว
หากท่านไม่ประสงค์ที่จะให้ข้อมูลส่วนบุคคลดังกล่าวแก่บริษัทฯ
อาจมีผลกระทบทางกฎหมาย
หรืออาจทำให้บริษัทฯ
ไม่สามารถปฏิบัติหน้าที่ภายใต้สัญญาที่ได้เข้าทำกับท่าน
หรือไม่สามารถเข้าทำสัญญากับท่านได้
5.3 หากท่านพบว่าบริษัทฯ
จะดำเนินการประมวลผลข้อมูลส่วนบุคคลของท่านในลักษณะ
และ/หรือเพื่อวัตถุประสงค์ที่ไม่สอดคล้องกับวัตถุประสงค์ที่ระบุไว้ข้างต้น
บริษัทฯ
จะจัดให้มีนโยบายหรือประกาศเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลเพิ่มเติม
และ/หรือมีหนังสือไปยังท่านเพื่ออธิบายการประมวลผลข้อมูลในลักษณะดังกล่าว
หรือท่านสามารถแจ้งข้อมูลดังกล่าวมายังบริษัทฯ
ตามที่อยู่ที่แจ้งไว้ในประกาศฉบับนี้
6. การเปิดเผยข้อมูลส่วนบุคคล
บริษัทฯ
อาจเปิดเผยข้อมูลส่วนบุคคลของท่าน
ภายใต้วัตถุประสงค์ที่กำหนดและตามหลักเกณฑ์ที่กฎหมายกำหนด
ให้แก่บุคคลและหน่วยงานดังต่อไปนี้
6.1 บริษัทในเครือบริษัท อินโนเว็ก
โฮลดิ้ง จำกัด ทั้งในประเทศและต่างประเทศ
ทั้งนี้ ให้หมายความรวมถึงผู้บริหาร
กรรมการ
พนักงาน
ลูกจ้าง
และ/หรือบุคลากรภายในของบริษัทดังกล่าวเท่าที่เกี่ยวข้อง
และตามความจำเป็นเพื่อการประมวลผลข้อมูลส่วนบุคคลของท่าน
6.2 หน่วยงานของรัฐที่มีหน้าที่กำกับดูแลตามกฎหมาย
หรือที่ร้องขอให้เปิดเผยข้อมูลส่วนบุคคลโดยอาศัยอำนาจตามกฎหมาย
หรือที่เกี่ยวข้องกับกระบวนการทางกฎหมาย
หรือที่ได้รับอนุญาตตามกฎหมายที่
เช่น สรรพากร สำนักงานอัยการสูงสุด
ศาล
และกรมบังคับคดี
กยศ เป็นต้น
6.3 ลูกค้า
คู่ค้า
คู่สัญญาของบริษัทฯ
หรือบุคคลที่เกี่ยวข้องกับบุคคลดังกล่าว
6.4 หรือการเปิดเผยข้อมูลส่วนบุคคลของท่านให้กับบุคคลอื่น
ที่ได้รับความยินยอมจากท่าน
บริษัทจะจัดให้มีมาตรการที่เหมาะสมตามกฎหมายในการเปิดเผยข้อมูลส่วนบุคคลของท่าน
7. ระยะเวลาเก็บรักษาข้อมูลส่วนบุคคล
บริษัทฯ
จะเก็บรักษาข้อมูลส่วนบุคคลของท่านตามระยะเวลาที่จำเป็นเพื่อบรรลุวัตถุประสงค์ที่กำหนดในการประมวลผลข้อมูลส่วนบุคคลนั้น
ๆ
โดยคำนึงถึงอายุความตามกฎหมายหรือกฎหมายอื่นที่เกี่ยวข้อง
ทั้งนี้
บริษัทฯ
จะเก็บรักษาข้อมูลส่วนบุคคลของท่านเป็นระยะเวลาไม่เกิน 10 ปี
นับแต่วันที่นิติสัมพันธ์ระหว่างท่านกับบริษัทฯ
สิ้นสุดลง กรณีท่านต้องการใช้สิทธิ์ท่านสามารถติดต่อมายังบริษัทฯ
ได้
หลังจากครบกำหนดระยะเวลาดังกล่าวข้างต้น
บริษัทฯ
จะลบหรือทำลายข้อมูลส่วนบุคคลดังกล่าว
จากการจัดเก็บหรือระบบของบริษัทฯ
เว้นแต่จะเป็นกรณีที่บริษัทฯ
สามารถเก็บรักษาข้อมูลส่วนบุคคลดังกล่าวได้ต่อไปตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายอื่นที่เกี่ยวข้องกำหนด
8. สิทธิต่าง
ๆ
ของท่านเกี่ยวกับข้อมูลส่วนบุคคล
ทั้งนี้
หากท่านประสงค์ที่จะขอใช้สิทธิของท่าน
ท่านสามารถติดต่อมายังบริษัทฯ
ตามรายละเอียดการติดต่อในข้อ 8 ของประกาศฯ
ฉบับนี้
8.1 สิทธิในการเข้าถึงข้อมูลส่วนบุคคลของท่าน
8.2 สิทธิในการโอนย้ายข้อมูลส่วนบุคคลของท่าน
8.3 สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคลของท่าน
8.4 สิทธิในการลบ
ทำลาย
หรือทำให้ข้อมูลของท่านไม่สามารถระบุตัวบุคคลได้
8.5 สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล
8.6 สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
ครบถ้วน
8.7 สิทธิที่จะเพิกถอนความยินยอม
เว้นแต่กฎหมายอื่นให้บริษัทฯ
สามารถเก็บข้อมูลส่วนบุคคลนั้นได้
8.8 สิทธิในการยื่นข้อร้องเรียน
กรณีที่ท่านได้ติดต่อมายังบริษัทฯ
ทางช่วงทางการติดต่อในประกาศฉบับนี้แล้วแต่ทางบริษัทฯ
มิได้ดำเนินการตามกฎหมาย
ท่านมีสิทธิยื่นข้อร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญที่ได้รับการแต่งตั้งโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตามระเบียบและวิธีการตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด
9. การให้บริการโดยบุคคลที่สามหรือผู้ให้บริการช่วง
บริษัทฯ
อาจมีการมอบหมายหรือจัดซื้อจัดจ้างบุคคลที่สาม
(ผู้ประมวลผลข้อมูลส่วนบุคคล)
ให้ทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของ
บริษัทฯ ซึ่งบุคคลที่สามดังกล่าวอาจเสนอบริการในลักษณะต่าง
ๆ เช่น
การเป็นผู้ดูแล
(Hosting) รับงานบริการช่วง
(Outsourcing) หรือเป็นผู้ให้บริการคลาวด์
(Cloud
computing service/provider) หรือเป็นงานในลักษณะการจ้างทำของในรูปแบบอื่น
การมอบหมายให้บุคคลที่สามทำการประมวลผลข้อมูลส่วนบุคคลในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลนั้น
บริษัทฯ
จะจัดให้มีข้อตกลงระบุสิทธิและหน้าที่ของ
บริษัทฯ
ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลและของบุคคลที่
บริษัทฯ
มอบหมายในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล
ซึ่งรวมถึงกำหนดรายละเอียดประเภทข้อมูลส่วนบุคคลที่
บริษัทฯ
มอบหมายให้ประมวลผล
รวมถึงวัตถุประสงค์
ขอบเขตในการประมวลผลข้อมูลส่วนบุคคลและข้อตกลงอื่น
ๆ
ที่เกี่ยวข้อง
ซึ่งผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ประมวลผลข้อมูลส่วนบุคคลตามขอบเขตที่ระบุในข้อตกลงและตามคำสั่งของ
บริษัทฯ
เท่านั้นโดยไม่สามารถประมวลผลเพื่อวัตถุประสงค์อื่นได้
ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลมีการมอบหมายผู้ให้บริการช่วง
(ผู้ประมวลผลช่วง)
เพื่อทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของผู้ประมวลผลข้อมูลส่วนบุคคล
ดังนี้
บริษัทฯ
จะกำกับให้ผู้ประมวลผลข้อมูลส่วนบุคคลจัดให้มีเอกสารข้อตกลงระหว่างผู้ประมวลผลข้อมูลส่วนบุคคลกับผู้ประมวลผลช่วง
ในรูปแบบและมาตรฐานที่ไม่ต่ำกว่าข้อตกลงระหว่าง
บริษัทฯ
กับผู้ประมวลผลข้อมูลส่วนบุคคล
10. การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
บริษัทฯ
มีมาตรการปกป้องข้อมูลส่วนบุคคล
โดยการจำกัดสิทธิ์การเข้าถึงข้อมูลส่วนบุคคลให้สามารถเข้าถึงได้โดยเจ้าหน้าที่เฉพาะรายหรือบุคคลที่มีอำนาจหน้าที่หรือได้รับมอบหมายที่มีความจำเป็นต้องใช้ข้อมูลดังกล่าวตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้แล้วเท่านั้น
ซึ่งบุคคลดังกล่าวจะต้องยึดมั่นและปฏิบัติตามมาตรการปกป้องข้อมูลส่วนบุคคลของ
บริษัทฯ
อย่างเคร่งครัด
ตลอดจนมีหน้าที่รักษาความลับของข้อมูลส่วนบุคคลที่ตนเองรับรู้จากการปฏิบัติการตามอำนาจหน้าที่
โดยบริษัทฯ
มีมาตรการรักษาความปลอดภัยข้อมูลทั้งในเชิงองค์กรหรือเชิงเทคนิกที่ได้มาตรฐานสากล
และเป็นไปตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
นอกจากนี้
เมื่อ
บริษัทฯ
มีการส่ง
โอนหรือเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลที่สาม
ไม่ว่าเพื่อการให้บริการตามพันธกิจ
ตามสัญญา
หรือข้อตกลงในรูปแบบอื่น
บริษัทฯ
จะกำหนดมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลและการรักษาความลับที่เหมาะสมและเป็นไปตามที่กฎหมายกำหนด
เพื่อยืนยันว่าข้อมูลส่วนบุคคลที่
บริษัทฯ
เก็บรวบรวมจะมีความมั่นคงปลอดภัยอยู่เสมอ
11. การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
ในบางกรณีบริษัทฯ
อาจจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังต่างประเทศเพื่อดำเนินการตามวัตถุประสงค์ในการให้บริการแก่ท่าน
เช่น
เพื่อส่งข้อมูลให้กับบริษัทฯ
ในเครือ
เพื่อส่งข้อมูลส่วนบุคคลไปยังระบบคลาวด์
(Cloud) ที่มีแพลตฟอร์มหรือเครื่องแม่ข่าย
(Server) อยู่ต่างประเทศ
(เช่น
ประเทศฮองกง
ประเทศสิงคโปร์
หรือสหรัฐอเมริกา
เป็นต้น) เพื่อสนับสนุนระบบเทคโนโลยีสารสนเทศที่ตั้งอยู่นอกประเทศไทย
ทั้งนี้
ขึ้นอยู่กับบริการของ
บริษัทฯ
ที่ท่านใช้งานหรือมีส่วนเกี่ยวข้องเป็นรายกิจกรรม
อย่างไรก็ตาม
ในขณะที่จัดทำนโยบายฉบับนี้
คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลยังมิได้มีประกาศกำหนดรายการประเทศปลายทางที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ
ดังนี้ เมื่อ
บริษัทฯ
มีความจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังประเทศปลายทาง
บริษัทฯ
จะดำเนินการเพื่อให้ข้อมูลส่วนบุคคลที่ส่งหรือโอนไปมีมาตรการคุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอตามมาตรฐานสากล
หรือดำเนินการตามเงื่อนไขเพื่อให้สามารถส่งหรือโอนข้อมูลนั้นได้ตามกฎหมาย
ได้แก่
1) เป็นการปฏิบัติตามกฎหมายที่กำหนดให้
บริษัทฯ
ต้องส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
2) ได้แจ้งให้ท่านทราบและได้รับความยินยอมจากท่านในกรณีที่ประเทศปลายทางมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอ
ทั้งนี้ตามประกาศรายชื่อประเทศที่คณะกรรมการคุ้มครองส่วนบุคคลประกาศกำหนด
3) เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาที่ท่านเป็นคู่สัญญากับ
บริษัทฯ
หรือเป็นการทำตามคำขอของท่านก่อนการเข้าทำสัญญานั้น
4) เป็นการกระทำตามสัญญาของ
บริษัทฯ
กับบุคคลหรือนิติบุคคลอื่น
เพื่อประโยชน์ของท่าน
5) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต
ร่างกาย
หรือสุขภาพของท่านหรือของบุคคลอื่น
เมื่อท่านไม่สามารถให้ความยินยอมในขณะนั้นได้
6) เป็นการจำเป็นเพื่อดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ
12. กฎหมายที่ใช้บังคับ
กฎหมายที่ใช้บังคับนี้ให้ใช้บังคับและตีความตามกฎหมายไทย
และให้ศาลไทยเป็นศาลที่มีเขตอำนาจในการพิจารณาข้อพิพาทที่เกิดขึ้น
13. วิธีการติดต่อบริษัทฯ
ในกรณีที่ท่านมีข้อสงสัยใด
ๆ หรือต้องการใช้สิทธิของท่านตามที่กำหนดไว้ในประกาศฯ
นี้
ท่านสามารถติดต่อบริษัทฯ
ผ่านช่องทาง
ดังนี้
บริษัท: บริษัท
อินโนเว็ก
โฮลดิ้ง
จํากัด
สถานที่ติดต่อ : 386 ซอยลาดพร้าว 94 ถนนลาดพร้าว
แขวงพลับพลา
เขตวังทองหลาง
กรุงเทพมหานคร
อีเมล : dpo@innovex.co.th
โทรศัพท์ : (+66)2-530-4995
14. การเปลี่ยนแปลงประกาศฯ
ฉบับนี้
บริษัทฯ
อาจทำการเปลี่ยนแปลงประกาศฯ
ฉบับนี้เป็นครั้งคราว
เพื่อให้สอดคล้องกับการเปลี่ยนแปลงใด
ๆ
ที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของท่าน
และตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายอื่นที่เกี่ยวข้องกำหนด
กฎหมายที่เกี่ยวข้อง
กฎหมายลำดับรองโดยบริษัทฯ
จะแจ้งให้ท่านทราบถึงการแก้ไขเปลี่ยนแปลงประกาศฯ
ประกาศแจ้งการดำเนินการกับข้อมูลส่วนบุคคลที่ได้มีการจัดเก็บไว้ก่อนที่
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 ใช้บังคับ
เรียน
บุคคลที่มีความเกี่ยวข้องกับบริษัท
อินโนเว็ก
โฮลดิ้ง
จำกัดและบริษัทในเครือ
บริษัท
อินโนเว็ก
โฮลดิ้ง
จำกัดและบริษัทในเครือ
(ต่อไปนี้เรียกรวมว่า
“บริษัทฯ”)
ให้ความสำคัญกับความเป็นส่วนตัว
ข้อมูลส่วนบุคคลของท่าน
รวมถึงมุ่งมั่นที่จะคุ้มครองข้อมูลส่วนบุคคลรวมถึงข้อมูลส่วนบุคคลของบุคคลที่เกี่ยวกับธุรกิจของท่าน
(รวมเรียกว่า
“ข้อมูลส่วนบุคคล”)
และเพื่อให้เป็นไปตามบทบัญญัติในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ.2562
(“พ.ร.บ.ฯ”)
ซึ่งมีผลบังคับใช้ในวันที่ 1 มิถุนายน
พ.ศ. 2565 นี้
บริษัทฯ จึงประกาศแจ้งสิทธิเกี่ยวกับการดำเนินการกับข้อมูลส่วนบุคคลที่ท่านได้ให้ไว้กับทางบริษัทฯ
ก่อนวันที่ พ.ร.บ.ฯ
จะมีผลบังคับใช้
โดยข้อมูลของท่านที่บริษัทได้เก็บ
รวมรวม ใช้
และ/หรือเปิดเผยข้อมูลส่วนบุคคลของท่านไม่ว่าด้วยวิธีการใดๆ
ก็ตาม อันเนื่องมาจากความสัมพันธ์ระหว่างท่านกับบริษัทฯ
ในฐานะพนักงาน
ลูกจ้าง
ลูกค้า
คู่ค้า
พันธมิตรทางธุรกิจ
ผู้ถือหุ้นหรือคณะกรรมการของบริษัทฯ
หรือฐานะอื่นๆ
ก่อนวันที่
พ.ร.บ.ฯ จะมีผลใช้บังคับ
บริษัทฯ
ขอแจ้งให้ท่านทราบว่า
บริษัทฯ
จะเก็บรวบรวม
และใช้ข้อมูลส่วนบุคคลดังกล่าวของท่านต่อไปตามวัตถุประสงค์เดิมที่ทางบริษัทฯ
ได้ทำการจัดเก็บและใช้อยู่ก่อนแล้วเท่านั้น
โดยบริษัทฯ
จะไม่เปิดเผยข้อมูลส่วนบุคคลดังกล่าวแก่บุคคลอื่น
เว้นแต่จะได้รับความยินยอมจากท่านเป็นลายลักษณ์อักษร
หรือกฎหมายอนุญาตให้กระทำเช่นนั้น
หากบริษัทฯ
จะเก็บ รวบรวม
ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าวของท่านนอกเหนือไปจากวัตถุประสงค์เดิมที่ได้มีการจัดเก็บก่อนวันที่
พ.ร.บ.ฯ
มีผลใช้บังคับ
บริษัทฯ
จะแจ้งให้ท่านทราบและจะดำเนินการเก็บรวบรวม
ใช้
หรือเปิดเผยข้อมูลส่วนบุคคลของท่านตามหลักการและวิธีการที่
พ.ร.บ.ฯ กำหนด
โดยท่านสามารถศึกษารายละเอียดเพิ่มเติมเกี่ยวกับการเก็บ
รวบรวม ใช้
และเปิดเผยข้อมูลส่วนบุคคลของท่านได้ตามประกาศความเป็นส่วนตัว
ทั้งนี้
หากท่านไม่ประสงค์ที่จะให้บริษัทฯ
เก็บรวบรวม
และใช้ข้อมูลส่วนบุคคลดังกล่าวต่อไป
ท่านมีสิทธิที่จะเพิกถอนความยินยอมที่ท่านให้ไว้กับบริษัทฯ
ก่อนที่ พ.ร.บ.ฯ
จะมีผลบังคับใช้
โดยติดต่อบริษัทฯ
ผ่านทางช่องทางดังต่อไปนี้
บริษัท:
บริษัท
อินโนเว็ก
โฮลดิ้ง
จํากัด
สถานที่ติดต่อ
: 386
ซอยลาดพร้าว
94 ถนนลาดพร้าว
แขวงพลับพลา
เขตวังทองหลาง
กรุงเทพมหานคร
อีเมล
: dpo@innovex.co.th
โทรศัพท์
: (+66)2-530-4995
ประกาศแจ้งการดำเนินการกับข้อมูลส่วนบุคคลที่ได้มีการจัดเก็บไว้ก่อนที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 ใช้บังคับ
ฉบับนี้ประกาศเมื่อวันที่ 25 พฤษภาคม 2565 (เวอร์ชั่น 1.0)
ประกาศเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
(Privacy Notice)
สำหรับกระบวนการที่เกี่ยวข้องกับคู่ค้าและบุคคลทั่วไป
บริษัท อินโนเว็ก
โฮลดิ้ง จำกัด
1. บททั่วไป
เพื่อเป็นการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 กฎหมายที่เกี่ยวข้องและกฎหมายลำดับรองที่เกี่ยวข้อง บริษัท อินโนเว็ก
โฮลดิ้ง จำกัด (“บริษัทฯ”) จึงจัดทำประกาศเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
(Privacy
Notice) ของบริษัทฯ
(“ประกาศฯ”) ไว้เพื่ออธิบายให้ท่านทราบถึงวิธีการที่บริษัทฯ
ปฏิบัติต่อข้อมูลส่วนบุคคลของท่าน
โดยมีรายละเอียดดังต่อไปนี้
2. คำนิยาม
“ข้อมูลส่วนบุคคล” หมายถึง
ข้อมูลเกี่ยวกับบุคคลธรรมดาซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม
“ข้อมูลส่วนบุคคลละเอียดอ่อน” หมายถึง ข้อมูลส่วนบุคคลที่มีความเสี่ยงอาจถูกนำไปสู่การเลือก ปฏิบัติอย่างไม่เป็นธรรม
ในที่นี้หมายถึง
เชื้อชาติ
ศาสนา
พฤติกรรมทางเพศ
ประวัติอาชญากรรม
ข้อมูลสุขภาพ
ความพิการ
ข้อมูลพันธุกรรมข้อมูลชีวภาพ
หรืออื่นๆ
ตามที่กฎหมายกำหนด
“เจ้าของข้อมูล” หมายถึง
บุคคลธรรมดาที่ข้อมูลส่วนบุคคลนั้น
ระบุไปถึง ไม่ว่าทางตรงหรือทางอ้อม
“คู่ค้า” หมายถึง บุคคลที่เข้าเสนอราคาเพื่อขายสินค้า
และ/หรือให้บริการแก่บริษัทฯ
หรือมีความสัมพันธ์อื่นใดที่มีลักษณะคล้ายคลึงกัน
เช่น
ที่ปรึกษา
ผู้ตรวจสอบบัญชี
“บุคคลทั่วไป” หมายถึง
บุคคลอื่นใดนอกเหนือจาก
คู่ค้า ลูกค้า
ลูกจ้าง เช่น
บุคคลที่เข้ามาใช้อาคารสถานที่
เป็นต้น
“การประมวลผล” หมายถึง
การดำเนินการใดๆ
ต่อข้อมูลส่วนบุคคล
หรือชุดข้อมูลส่วนบุคคล
ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่
เช่น
เก็บรวบรวม
บันทึก
เก็บรักษา
เปลี่ยนแปลงหรือปรับเปลี่ยน
รับ ใช้
เปิดเผยด้วยการส่งต่อ
เผยแพร่
รวมถึงการลบหรือทำลายใดๆ
หรือกระทำการอื่นซึ่งทำให้เกิดความพร้อมใช้งาน
“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม
ใช้ หรือ
เปิดเผยข้อมูลส่วนบุคคล
ในที่นี้หมายถึง
บริษัทฯ
หน่วยงาน
พนักงานที่รับผิดชอบในข้อมูลส่วนบุคคลนั้น
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง
บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวมใช้
หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล
ในที่นี้หมายถึง
คู่ค้า
ผู้มีส่วนได้ส่วนเสียกับบริษัทฯ
หรือบริษัทภายนอกที่บริษัทได้ว่าจ้าง
“เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” หมายถึง
บุคคลซึ่งบริษัทแต่งตั้งให้ทำหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562
“การแฝงข้อมูล” หมายถึง การประมวลผลข้อมูลส่วนบุคคลในลักษณะที่ข้อมูลส่วนบุคคลไม่สามารถระบุตัวเจ้าของข้อมูลได้หากปราศจากการใช้ข้อมูลเพิ่มเติมประกอบ
2. ประเภทของบุคคลที่บริษัทฯ
ทำการเก็บรวบรวมข้อมูลส่วนบุคคล
และแหล่งที่มาของข้อมูลส่วนบุคคล
ประเภทของบุคคลที่บริษัทฯ ข้อมูลส่วนบุคคลเกี่ยวกับคู่ค้าหรือผู้ให้บริการ
และข้อมูลส่วนบุคคลเกี่ยวกับบุคคลทั่วไป
ได้แก่ การเก็บรวบรวมโดยอัตโนมัติจากการใช้คุกกี้
(Cookies) หรือเทคโนโลยีอื่น
ๆ
หรือได้รับมาจากบุคคลภายนอก
เช่น
ผู้ที่ถูกบันทึกภาพโดยกล้องวงจรปิด
(CCTV) และผู้ที่เข้าเว็บไซต์ของบริษัทฯ
เป็นต้น
3. แหล่งที่ได้มาในการเก็บรวบรวมและรับข้อมูลส่วนบุคคลของท่าน
บริษัทฯ
อาจจะได้มาซึ่งข้อมูลส่วนบุคคลของทางตรงหรือโดยทางอ้อมจากแหล่งสาธารณะอื่นๆ
เช่นจาก
โซเชียลมีเดีย
หรือจากบุคคลที่สาม
โดยวิธีการดังนี้
3.1 ท่านกรอกแบบฟอร์มต่าง
ๆ
ผ่านเว็บไซต์ของบริษัทฯ
หรือช่องทางอื่น
ในการเสนอสินค้าหรือบริการเมื่อท่านเข้าทำสัญญาเมื่อท่านสอบถามข้อมูล
ให้ความเห็น
หรือคำติชม
หรือส่งข้อร้องเรียนต่อบริษัทฯ
ทางโทรศัพท์
อีเมล
หรือโดยวิธีการอื่นใด
3.2 ท่านเข้าใช้บริการ
ณ อาคาร สถานที่ของบริษัทฯ
และบริษัทฯได้บันทึกภาพนิ่งหรือภาพเคลื่อนไหวโดยกล้องวงจรปิด
(CCTV) ซึ่งอยู่ในความควบคุมดูแลของบริษัทฯ
บางกรณีบริษัทได้เก็บรวบรวมข้อมูลของท่านไว้ก่อนวันที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลในส่วนที่เกี่ยวข้องกับการเก็บรวบรวม
ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลมีผลใช้บังคับบริษัทฯ
จะเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลของท่านต่อไปตามวัตถุประสงค์เดิมที่บริษัทฯ
ได้แจ้งไว้แก่ท่านในการเก็บรวบรวมข้อมูลส่วนบุคคลซึ่งท่านสามารถใช้สิทธิ์ของเจ้าของข้อมูลส่วนบุคคลของท่าน
โดยติดต่อมายังบริษัทฯ
ตามที่อยู่ที่บริษัทฯแจ้งไว้ในประกาศฉบับนี้
4. ข้อมูลส่วนบุคคลที่ถูกเก็บรวบรวม
ข้อมูลส่วนบุคคลที่บริษัทฯ
จะเก็บรวบรวมและประมวลผลภายใต้ประกาศฯ
ฉบับนี้
ได้แก่ ข้อมูลส่วนบุคคลทั่วไป
เช่น ชื่อ
นามสกุล
หมายเลขบัตรประจำตัวประชาชน
ลายมือชื่อ ข้อมูลส่วนบุคคลละเอียดอ่อน
เช่น
ข้อมูลสุขภาพ
ใบรับรองแพทย์
โรคต่างๆ
เชื้อชาติ
ศาสนา หากเป็นการเก็บข้อมูลส่วนบุคคลละเอียดอ่อนบริษัทฯจะขอความยินยอมจากท่านตามกฎหมาย
5. วัตถุประสงค์และฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคล
5.1 บริษัทฯ
ประมวลผลข้อมูลส่วนบุคคลของท่าน
เพื่อวัตถุประสงค์ต่าง
ๆ
ภายใต้ฐานทางกฎหมาย
ดังต่อไปนี้
5.1.1 วัตถุประสงค์เกี่ยวกับการจัดซื้อจัดจ้าง
ของผู้ให้บริการ
ในการสรรหา
คัดเลือกคู่ค้าหรือผู้ให้บริการ
โดยบริษัทฯ
ใช้ฐานประโยชน์โดยชอบด้วยกฎหมายในการประมวลผลสำหรับวัตถุประสงค์นี้
5.1.2 ในกรณีที่บริษัทฯ ได้คัดเลือกคู่ค้าหรือผู้ให้บริการได้แล้วบริษัทฯ
การขึ้นทะเบียนคู่ค้ารายใหม่
เพื่อการติดต่อสื่อสาร
ใช้ฐานสัญญา
เพื่อเป็นการปฏิบัติตามสัญญาในการดำเนินการในงานจัดซื้อจัดจ้าง
5.1.3 วัตถุประสงค์เกี่ยวกับการปฏิบัติตามกฎหมาย
เช่น
นำส่งข้อมูลให้หน่วยงานของรัฐ
กรมสรรพากร
บริษัทฯ
ใช้ฐานกฎหมาย
เพื่อเป็นการปฏิบัติตามกฎหมาย
5.1.4 วัตถุประสงค์เพื่อความปลอดภัย
เพื่อความปลอดภัยในชีวิตและทรัพย์สินของท่าน
บริษัทฯ
ใช้ฐานกฎหมายและฐานประโยชน์โดยชอบด้วยกฎหมายในการประมวลผลข้อมูลส่วนบุคคลของท่าน
5.1.5 วัตถุประสงค์เพื่อประชาสัมพันธ์
เพื่อใช้ในการประชาสัมพันธ์ข่าวสาร
ข้อมูลของบริษัทฯ
บริษัทฯ
จะแจ้งให้ท่านทราบและขอความยินยอมจากท่านก่อน
บริษัทฯ
ใช้ฐานความยินยอม
5.2 เนื่องจากข้อมูลส่วนบุคคลของท่านที่บริษัทฯ
บางกรณีบริษัทฯ
มีความจำเป็นในการประมวลผลข้อมูลส่วนบุคคลของท่านตามกฎหมาย
บริษัทจะดำเนินการประมวลผลเพื่อวัตถุประสงค์ที่กำหนดตามข้อ 5.1 ข้างต้นในส่วนที่มีความเกี่ยวเนื่องกับการปฏิบัติตามกฎหมายหรือสัญญาหรือมีความจำเป็นเพื่อเข้าทำสัญญากับท่าน
เป็นข้อมูลที่จำเป็นต่อการบรรลุวัตถุประสงค์ดังกล่าว
หากท่านไม่ประสงค์ที่จะให้ข้อมูลส่วนบุคคลดังกล่าวแก่บริษัทฯ
อาจมีผลกระทบทางกฎหมาย
หรืออาจทำให้บริษัทฯ
ไม่สามารถปฏิบัติหน้าที่ภายใต้สัญญาที่ได้เข้าทำกับท่าน
หรือไม่สามารถเข้าทำสัญญากับท่านได้
5.3 หากท่านพบว่าบริษัทฯ
จะดำเนินการประมวลผลข้อมูลส่วนบุคคลของท่านในลักษณะ
และ/หรือเพื่อวัตถุประสงค์ที่ไม่สอดคล้องกับวัตถุประสงค์ที่ระบุไว้ข้างต้น
บริษัทฯ
จะจัดให้มีนโยบายหรือประกาศเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลเพิ่มเติม
และ/หรือมีหนังสือไปยังท่านเพื่ออธิบายการประมวลผลข้อมูลในลักษณะดังกล่าว
หรือท่านสามารถแจ้งข้อมูลดังกล่าวมายังบริษัทฯ
ตามที่อยู่ที่แจ้งไว้ในประกาศฉบับนี้
6. การเปิดเผยข้อมูลส่วนบุคคล
บริษัทฯ
อาจเปิดเผยข้อมูลส่วนบุคคลของท่าน
ภายใต้วัตถุประสงค์ที่กำหนดและตามหลักเกณฑ์ที่กฎหมายกำหนด
ให้แก่บุคคลและหน่วยงานดังต่อไปนี้
6.1 บริษัทในเครือบริษัท อินโนเว็ก
โฮลดิ้ง จำกัด ทั้งในประเทศและต่างประเทศ
ทั้งนี้ ให้หมายความรวมถึงผู้บริหาร
กรรมการ
พนักงาน
ลูกจ้าง
และ/หรือบุคลากรภายในของบริษัทดังกล่าวเท่าที่เกี่ยวข้อง
และตามความจำเป็นเพื่อการประมวลผลข้อมูลส่วนบุคคลของท่าน
6.2 หน่วยงานของรัฐที่มีหน้าที่กำกับดูแลตามกฎหมาย
หรือที่ร้องขอให้เปิดเผยข้อมูลส่วนบุคคลโดยอาศัยอำนาจตามกฎหมาย
หรือที่เกี่ยวข้องกับกระบวนการทางกฎหมาย
หรือที่ได้รับอนุญาตตามกฎหมายที่
เช่น สรรพากร สำนักงานอัยการสูงสุด
ศาล
และกรมบังคับคดี
กยศ เป็นต้น
6.3 ลูกค้า คู่ค้า
คู่สัญญาของบริษัทฯ
หรือบุคคลที่เกี่ยวข้องกับบุคคลดังกล่าว
6.4 หรือการเปิดเผยข้อมูลส่วนบุคคลของท่านให้กับบุคคลอื่น
ที่ได้รับความยินยอมจากท่าน
บริษัทจะจัดให้มีมาตรการที่เหมาะสมตามกฎหมายในการเปิดเผยข้อมูลส่วนบุคคลของท่าน
7. ระยะเวลาเก็บรักษาข้อมูลส่วนบุคคล
บริษัทฯ
จะเก็บรักษาข้อมูลส่วนบุคคลของท่านตามระยะเวลาที่จำเป็นเพื่อบรรลุวัตถุประสงค์ที่กำหนดในการประมวลผลข้อมูลส่วนบุคคลนั้น
ๆ
โดยคำนึงถึงอายุความตามกฎหมายหรือกฎหมายอื่นที่เกี่ยวข้อง
ทั้งนี้
บริษัทฯ
จะเก็บรักษาข้อมูลส่วนบุคคลของท่านเป็นระยะเวลาไม่เกิน 10 ปี
นับแต่วันที่นิติสัมพันธ์ระหว่างท่านกับบริษัทฯ
สิ้นสุดลง กรณีท่านต้องการใช้สิทธิ์ท่านสามารถติดต่อมายังบริษัทฯ
ได้
หลังจากครบกำหนดระยะเวลาดังกล่าวข้างต้น
บริษัทฯ
จะลบหรือทำลายข้อมูลส่วนบุคคลดังกล่าว
จากการจัดเก็บหรือระบบของบริษัทฯ
เว้นแต่จะเป็นกรณีที่บริษัทฯ
สามารถเก็บรักษาข้อมูลส่วนบุคคลดังกล่าวได้ต่อไปตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายอื่นที่เกี่ยวข้องกำหนด
8. สิทธิต่าง
ๆ
ของท่านเกี่ยวกับข้อมูลส่วนบุคคล
ทั้งนี้
หากท่านประสงค์ที่จะขอใช้สิทธิของท่าน
ท่านสามารถติดต่อมายังบริษัทฯ
ตามรายละเอียดการติดต่อในข้อ 8 ของประกาศฯ
ฉบับนี้
8.1 สิทธิในการเข้าถึงข้อมูลส่วนบุคคลของท่าน
8.2 สิทธิในการโอนย้ายข้อมูลส่วนบุคคลของท่าน
8.3 สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคลของท่าน
8.4 สิทธิในการลบ
ทำลาย
หรือทำให้ข้อมูลของท่านไม่สามารถระบุตัวบุคคลได้
8.5 สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล
8.6 สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
ครบถ้วน
8.7 สิทธิที่จะเพิกถอนความยินยอม
เว้นแต่กฎหมายอื่นให้บริษัทฯ
สามารถเก็บข้อมูลส่วนบุคคลนั้นได้
8.8 สิทธิในการยื่นข้อร้องเรียน
กรณีที่ท่านได้ติดต่อมายังบริษัทฯ
ทางช่วงทางการติดต่อในประกาศฉบับนี้แล้วแต่ทางบริษัทฯ
มิได้ดำเนินการตามกฎหมาย
ท่านมีสิทธิยื่นข้อร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญที่ได้รับการแต่งตั้งโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตามระเบียบและวิธีการตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด
9. การให้บริการโดยบุคคลที่สามหรือผู้ให้บริการช่วง
บริษัทฯ
อาจมีการมอบหมายหรือจัดซื้อจัดจ้างบุคคลที่สาม
(ผู้ประมวลผลข้อมูลส่วนบุคคล)
ให้ทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของ
บริษัทฯ
ซึ่งบุคคลที่สามดังกล่าวอาจเสนอบริการในลักษณะต่าง
ๆ เช่น
การเป็นผู้ดูแล
(Hosting) รับงานบริการช่วง
(Outsourcing) หรือเป็นผู้ให้บริการคลาวด์
(Cloud
computing service/provider) หรือเป็นงานในลักษณะการจ้างทำของในรูปแบบอื่น
การมอบหมายให้บุคคลที่สามทำการประมวลผลข้อมูลส่วนบุคคลในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลนั้น
บริษัทฯ
จะจัดให้มีข้อตกลงระบุสิทธิและหน้าที่ของ
บริษัทฯ ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลและของบุคคลที่
บริษัทฯ
มอบหมายในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล
ซึ่งรวมถึงกำหนดรายละเอียดประเภทข้อมูลส่วนบุคคลที่
บริษัทฯ
มอบหมายให้ประมวลผล
รวมถึงวัตถุประสงค์
ขอบเขตในการประมวลผลข้อมูลส่วนบุคคลและข้อตกลงอื่น
ๆ ที่เกี่ยวข้อง
ซึ่งผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ประมวลผลข้อมูลส่วนบุคคลตามขอบเขตที่ระบุในข้อตกลงและตามคำสั่งของ
บริษัทฯ
เท่านั้นโดยไม่สามารถประมวลผลเพื่อวัตถุประสงค์อื่นได้
ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลมีการมอบหมายผู้ให้บริการช่วง
(ผู้ประมวลผลช่วง)
เพื่อทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของผู้ประมวลผลข้อมูลส่วนบุคคล
ดังนี้
บริษัทฯ
จะกำกับให้ผู้ประมวลผลข้อมูลส่วนบุคคลจัดให้มีเอกสารข้อตกลงระหว่างผู้ประมวลผลข้อมูลส่วนบุคคลกับผู้ประมวลผลช่วง
ในรูปแบบและมาตรฐานที่ไม่ต่ำกว่าข้อตกลงระหว่าง
บริษัทฯ
กับผู้ประมวลผลข้อมูลส่วนบุคคล
10. การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
บริษัทฯ
มีมาตรการปกป้องข้อมูลส่วนบุคคล
โดยการจำกัดสิทธิ์การเข้าถึงข้อมูลส่วนบุคคลให้สามารถเข้าถึงได้โดยเจ้าหน้าที่เฉพาะรายหรือบุคคลที่มีอำนาจหน้าที่หรือได้รับมอบหมายที่มีความจำเป็นต้องใช้ข้อมูลดังกล่าวตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้แล้วเท่านั้น
ซึ่งบุคคลดังกล่าวจะต้องยึดมั่นและปฏิบัติตามมาตรการปกป้องข้อมูลส่วนบุคคลของ
บริษัทฯ
อย่างเคร่งครัด
ตลอดจนมีหน้าที่รักษาความลับของข้อมูลส่วนบุคคลที่ตนเองรับรู้จากการปฏิบัติการตามอำนาจหน้าที่
โดยบริษัทฯ
มีมาตรการรักษาความปลอดภัยข้อมูลทั้งในเชิงองค์กรหรือเชิงเทคนิกที่ได้มาตรฐานสากล
และเป็นไปตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
นอกจากนี้
เมื่อ
บริษัทฯ
มีการส่ง
โอนหรือเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลที่สาม
ไม่ว่าเพื่อการให้บริการตามพันธกิจ
ตามสัญญา
หรือข้อตกลงในรูปแบบอื่น
บริษัทฯ
จะกำหนดมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลและการรักษาความลับที่เหมาะสมและเป็นไปตามที่กฎหมายกำหนด
เพื่อยืนยันว่าข้อมูลส่วนบุคคลที่
บริษัทฯ
เก็บรวบรวมจะมีความมั่นคงปลอดภัยอยู่เสมอ
11. การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
ในบางกรณีบริษัทฯ
อาจจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังต่างประเทศเพื่อดำเนินการตามวัตถุประสงค์ในการให้บริการแก่ท่าน
เช่น
เพื่อส่งข้อมูลให้กับบริษัทฯ
ในเครือ
เพื่อส่งข้อมูลส่วนบุคคลไปยังระบบคลาวด์
(Cloud) ที่มีแพลตฟอร์มหรือเครื่องแม่ข่าย
(Server) อยู่ต่างประเทศ
(เช่น
ประเทศฮองกง
ประเทศสิงคโปร์
หรือสหรัฐอเมริกา
เป็นต้น) เพื่อสนับสนุนระบบเทคโนโลยีสารสนเทศที่ตั้งอยู่นอกประเทศไทย
ทั้งนี้
ขึ้นอยู่กับบริการของ
บริษัทฯ
ที่ท่านใช้งานหรือมีส่วนเกี่ยวข้องเป็นรายกิจกรรม
อย่างไรก็ตาม
ในขณะที่จัดทำนโยบายฉบับนี้
คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลยังมิได้มีประกาศกำหนดรายการประเทศปลายทางที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ
ดังนี้ เมื่อ
บริษัทฯ มีความจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังประเทศปลายทาง
บริษัทฯ จะดำเนินการเพื่อให้ข้อมูลส่วนบุคคลที่ส่งหรือโอนไปมีมาตรการคุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอตามมาตรฐานสากล
หรือดำเนินการตามเงื่อนไขเพื่อให้สามารถส่งหรือโอนข้อมูลนั้นได้ตามกฎหมาย
ได้แก่
1) เป็นการปฏิบัติตามกฎหมายที่กำหนดให้
บริษัทฯ
ต้องส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
2) ได้แจ้งให้ท่านทราบและได้รับความยินยอมจากท่านในกรณีที่ประเทศปลายทางมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอ
ทั้งนี้ตามประกาศรายชื่อประเทศที่คณะกรรมการคุ้มครองส่วนบุคคลประกาศกำหนด
3) เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาที่ท่านเป็นคู่สัญญากับ
บริษัทฯ หรือเป็นการทำตามคำขอของท่านก่อนการเข้าทำสัญญานั้น
4) เป็นการกระทำตามสัญญาของ
บริษัทฯ
กับบุคคลหรือนิติบุคคลอื่น
เพื่อประโยชน์ของท่าน
5) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต
ร่างกาย
หรือสุขภาพของท่านหรือของบุคคลอื่น
เมื่อท่านไม่สามารถให้ความยินยอมในขณะนั้นได้
6) เป็นการจำเป็นเพื่อดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ
12. กฎหมายที่ใช้บังคับ
กฎหมายที่ใช้บังคับนี้ให้ใช้บังคับและตีความตามกฎหมายไทย
และให้ศาลไทยเป็นศาลที่มีเขตอำนาจในการพิจารณาข้อพิพาทที่เกิดขึ้น
13. วิธีการติดต่อบริษัทฯ
ในกรณีที่ท่านมีข้อสงสัยใด
ๆ หรือต้องการใช้สิทธิของท่านตามที่กำหนดไว้ในประกาศฯ
นี้
ท่านสามารถติดต่อบริษัทฯ
ผ่านช่องทาง
ดังนี้
บริษัท: บริษัท
อินโนเว็ก
โฮลดิ้ง
จํากัด
สถานที่ติดต่อ : 386 ซอยลาดพร้าว 94 ถนนลาดพร้าว
แขวงพลับพลา
เขตวังทองหลาง
กรุงเทพมหานคร
อีเมล : dpo@innovex.co.th
โทรศัพท์ : (+66)2-530-4995
14. การเปลี่ยนแปลงประกาศฯ
ฉบับนี้
บริษัทฯ
อาจทำการเปลี่ยนแปลงประกาศฯ
ฉบับนี้เป็นครั้งคราว
เพื่อให้สอดคล้องกับการเปลี่ยนแปลงใด
ๆ
ที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของท่าน
และตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายอื่นที่เกี่ยวข้องกำหนด
กฎหมายที่เกี่ยวข้อง
กฎหมายลำดับรองโดยบริษัทฯ
จะแจ้งให้ท่านทราบถึงการแก้ไขเปลี่ยนแปลงประกาศฯ
นโยบายความเป็นส่วนตัวในการใช้งานกล้องวงจรปิด
(CCTV)
นโยบายความเป็นส่วนตัวฉบับนี้
(“นโยบาย”) จะอธิบายเกี่ยวกับการใช้อุปกรณ์กล้องวงจรปิด
(“CCTV”) ที่ บริษัท อินโนเว็ก
โฮลดิ้ง จำกัด
และบริษัทในเครือ (ซึ่งต่อไปนี้เรียกว่า
"บริษัท"
หรือ “เรา”)
ได้ใช้อุปกรณ์ CCTV พร้อมกับระบบต่างๆ
สำหรับการตรวจสอบภายในพื้นที่ใดเป็นการเฉพาะ
รวมถึงพื้นที่รอบๆ
บริเวณของสถานที่
อาคาร
และพื้นที่ใดๆ
เพื่อการป้องกันชีวิต
อนามัย
และทรัพย์สิน
โดยมีข้อมูลส่วนบุคคลของลูกจ้าง
กรรมการบริษัท
คู่ค้า ผู้ปฏิบัติงาน
ผู้มาติดต่อ
หรือบุคคลใดก็ตาม
(ซึ่งจะรวมเรียกว่า “ท่าน”)
ที่ได้เข้าไปอยู่ในบริเวณพื้นที่ที่ทำการตรวจสอบภายในอาคารและพื้นที่ใดๆ
ดังกล่าว
นอกจากนี้
นโยบายฉบับนี้อธิบายถึงวิธีการในการเก็บรวบรวม
ใช้ เปิดเผย
และการส่งหรือโอนย้ายข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้
(“ข้อมูลส่วนบุคคล”) ของท่าน
และระบุถึงวิธีการในการจัดการหรือการใช้ระบบ CCTV ของเรา
ทั้งนี้
เราอาจทำการแก้ไขเพิ่มเติมนโยบายฉบับนี้ได้ทุกเมื่อและจะแจ้งถึงการแก้ไขดังกล่าวให้ท่านได้ทราบเท่าที่จะดำเนินการได้
1. ข้อมูลส่วนบุคคลประเภทใดบ้างที่เราเก็บรวบรวม
บริษัทจะทำการเก็บภาพเคลื่อนไหวหรือภาพนิ่งซึ่งสามารถที่จะสามารถจดจำได้ว่าเป็นท่าน
เสียงของท่าน
รวมถึงทรัพย์สินของท่าน
อาทิ
ยานพาหนะ
เมื่อเข้าไปในพื้นที่ที่ได้ทำการตรวจสอบภายในสถานที่
อาคาร
และพื้นที่ใดๆ
ของเรา
ผ่านระบบและอุปกรณ์ CCTV
(“ข้อมูลจาก CCTV”)
2. เหตุใดเราจึงเก็บรวบรวม
ใช้
หรือเปิดเผยข้อมูลส่วนบุคคลของท่าน
2.1 เราอาจทำการรวบรวม
เก็บภาพ ใช้ เปิดเผย
โอน
และดำเนินการใดๆ
ซึ่งรวมถึงแต่ไม่จำกัดเพียงการบันทึกการเก็บบันทึก การปรับเปลี่ยน
การแก้ไข
การดัดแปลง
การทำลาย การลบ การกู้คืน การรวม
การทำสำเนา
การส่งผ่าน
การเก็บรักษา
การถอน
การปรับปรุง
การเพิ่มเติม
ต่อข้อมูลจาก CCTV เกี่ยวกับท่านและข้อมูลส่วนบุคคลอื่นๆ
ที่เกี่ยวข้องกับท่าน
สำหรับ
"วัตถุประสงค์การตรวจสอบโดย CCTV" ตามรายการที่ระบุไว้ด้านล่าง
จะกระทำบนฐานประโยชน์โดยชอบด้วยกฎหมาย
เพื่อประโยชน์ต่อชีวิต
เพื่อการปฏิบัติตามกฎหมาย
เพื่อประโยชน์สาธารณะ
ตามความยินยอมที่ได้รับ
หรือตามฐานอื่นใดที่ได้รับอนุญาตตามกฎหมายที่บังคับใช้ในประเทศไทย
(โดยที่ผลประโยชน์เหล่านั้นจะไม่เป็นการก้าวล่วงต่อสิทธิและผลประโชน์ของบุคคลใด)
ซึ่งอาจพิจารณาได้ตามกรณีดังนี้
2.1.1 เพื่อปกป้องชีวิต
ร่างกาย
ความปลอดภัยอนามัยส่วนบุคคล
และ/หรือทรัพย์สินส่วนตัวของท่าน
2.1.2 เพื่อควบคุมการเข้ามาภายในอาคารและเพื่อการรักษาความปลอดภัยของอาคาร
บุคลากร พนักงาน
และผู้มาติดต่อ
รวมทั้งทรัพย์สินและข้อมูลของเราที่ตั้งอยู่หรือเก็บไว้ในสถานที่นั้นๆ
2.1.3 เพื่อการปกป้อง/ป้องกันสถานที่
อาคาร
พื้นที่ต่างๆ
และทรัพย์สินของเรา
จากความเสียหาย
การหยุดชะงัก
การทำลาย
และอาชญากรรมอื่นๆ
2.1.4 เพื่อช่วยเหลือในการแก้ไขปัญหาข้อพิพาทอย่างมีประสิทธิภาพที่เกิดขึ้นในขณะทำการลงโทษทางวินัยหรือการพิจารณาเรื่องร้องทุกข์
2.1.5 เพื่อช่วยเหลือในการสืบสวนสอบสวนหรือการดำเนินการเกี่ยวกับการร้องเรียน
และการแจ้งเบาะแส
2.1.6 เพื่อนำไปใช้ในการพิสูจน์หรือหักล้างในการดำเนินคดีทางแพ่ง
ซึ่งรวมถึงแต่ไม่จำกัดเพียงการดำเนินกระบวนพิจารณาคดีแรงงาน
2.1.7 เพื่อปฏิบัติตามหน้าที่ตามกฎหมายของเรา
และ/หรือ
การให้ความร่วมมือกับศาล
หน่วยงานกำกับดูแล
หน่วยงานของรัฐ
และหน่วยงานที่มีอำนาจบังคับใช้กฎหมาย
สำหรับการใช้อำนาจหน้าที่ตามกฎหมาย
ซึ่งรวมถึงแต่ไม่จำกัดเพียงเพื่อความปลอดภัย
อาชีวอนามัยและสภาพแวดล้อมในการทำงาน พวกเราเล็งเห็นว่าการใช้ระบบ CCTV เป็นมาตรการที่จำเป็นเพื่อให้เราสามารถปฏิบัติตามภาระหน้าที่เหล่านั้นได้
2.1.8 เพื่อการใช้สิทธิของเราหรือปกป้องผลประโยชน์โดยชอบด้วยกฎหมายของเราในกรณีที่จำเป็นต้องทำเช่นนั้น
เพื่อระงับยับยั้ง
ป้องกันและตรวจจับการประพฤติมิชอบ
อาชญากรรมหรือการฝ่าฝืนกฎหมาย
ติดตามเหตุการณ์
เพื่อป้องกันและรายงานการประพฤติมิชอบหรืออาชญากรรมในร้านค้าของเราและเพื่อปกป้องความปลอดภัยและความมั่นคงของธุรกิจของเรา
พวกเราจะพยายามอย่างต่อเนื่องเพื่อสร้างสมดุลระหว่างผลประโยชน์โดยชอบด้วยกฎหมายของเราและของบุคคลที่สาม
และสิทธิขั้นพื้นฐานและเสรีภาพของท่านที่เกี่ยวข้องกับการปกป้องข้อมูลบนระบบ CCTV ที่เกี่ยวข้องกับท่าน
ตามแต่กรณี
เราจะพยายามระบุถึงขั้นตอนที่จำเป็นเพื่อให้เกิดความสมดุลที่เหมาะตามแต่สมควร
2.1.9 เราจะติดตั้งอุปกรณ์ CCTV ที่จุดสำคัญภายในสถานที่
อาคารและพื้นที่ต่าง
ๆ ของเรา
ยกเว้นบางพื้นที่
เช่น ห้องเปลี่ยนเสื้อผ้า
ห้องสุขา
และห้องอาบน้ำ
2.1.10 ระบบ CCTV ของเราเปิดใช้งานตลอด 24 ชั่วโมง
โดยจะมีเจ้าหน้าที่รักษาความปลอดภัยของเราทำการเฝ้าดูผ่านอุปกรณ์
ยกเว้นในกรณีที่อุปกรณ์/ระบบเกิดความขัดข้อง
และ/หรือต้องทำการซ่อมบำรุง
2.1.11 เราจะจัดวางป้ายตามความเหมาะสมในสถานที่ที่มีการใช้งานระบบ CCTV
2.1.12 บุคคลใดที่อาจได้รับการเปิดเผยข้อมูลส่วนบุคคลของท่าน
3.1 เราจะเก็บข้อมูลส่วนบุคคลที่เกี่ยวข้องกับท่านในระบบ CCTV ไว้เป็นความลับ
และจะทำการเปิดเผยหรือถ่ายโอนข้อมูลส่วนบุคคลดังกล่าวเฉพาะเพียงบริษัทลูก
บริษัทในเครือของเรา
บุคคลภายนอกอื่นๆ
ที่จะถูกคัดเลือกอย่างระมัดระวังในเวลานี้หรือในอนาคต
ผู้ได้รับอนุญาต
พันธมิตรกิจการร่วมค้า
และ/หรือผู้ให้บริการ
(ซึ่งอาจตั้งอยู่ในต่างประเทศ)
เพื่อให้บรรลุวัตถุประสงค์การตรวจสอบโดย CCTV ตามที่ระบุไว้ในนโยบายนี้
3.2 บุคคลภายนอกซึ่งเราอาจเปิดเผยข้อมูลจากระบบ CCTV และข้อมูลส่วนบุคคลอื่นๆ
ที่เกี่ยวข้องกับท่าน
ซึ่งรวมถึงการเปิดเผยต่อบริษัทในเครือ
(เป็นส่วนหนึ่งของประโยชน์โดยชอบด้วยกฎหมายของเราและประโยชน์ของบริษัทในเครือ
เพื่อให้บรรลุวัตถุประสงค์การตรวจสอบโดย CCTV) หน่วยงานภาครัฐ
และ/หรือองค์กรที่ทำหน้าที่กำกับดูแล
(เพื่อปฏิบัติตามหน้าที่ตามกฎหมาย
หรือเพื่อสนับสนุนหรือช่วยเหลือแก่องค์กรบังคับใช้กฎหมายในเรื่องการสอบสวนและดำเนินคดีทางแพ่งหรือทางอาญา)
และผู้ให้บริการบุคคลที่สาม
(ตามขั้นตอนที่จำเป็นของเราเพื่อให้แน่ใจว่า
เราจะให้การคุ้มครองต่อสุขภาพและความปลอดภัยส่วนบุคคล
และทรัพย์สินของท่าน)
อย่างไรก็ตามการเข้าถึงข้อมูลระบบ CCTV นั้น
อาจเป็นการเข้าถึงหรือเปิดเผยได้เท่าที่จำเป็นเพื่อจัดการกับเหตุการณ์ที่เกิดขึ้นซึ่งอยู่ภายใต้หนึ่งในวัตถุประสงค์ที่ระบุไว้ในข้อ 3.2 นี้
หรือเพื่อตอบสนองการร้องขอของบุคคลตามกฎหมายภายใต้ข้อ 2.1
4. การส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังต่างประเทศ
เราอาจเปิดเผยหรือถ่ายโอนข้อมูลส่วนบุคคลของท่านจากระบบ CCTV (ซึ่งเป็นส่วนหนึ่งของขั้นตอนที่จำเป็นสำหรับสุขภาพ
ความปลอดภัยส่วนบุคคลและทรัพย์สินของท่าน)
ไปยังผู้ให้บริการบุคคลที่สามที่อยู่นอกประเทศไทย
และการเปิดเผยหรือถ่ายโอนดังกล่าวจะกระทำต่อเมื่อได้รับความยินยอมจากท่าน
หรือมีพื้นฐานตามกฎหมายอื่นที่บังคับให้กระทำตามที่กฎหมายอนุญาตไว้
(เช่นเพื่อปฏิบัติตามข้อกำหนดของสัญญาระหว่างเรากับบุคคลอื่นเพื่อประโยชน์ของท่าน)
โดยที่ประเทศปลายทางดังกล่าวอาจมีหรือไม่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่คล้ายคลึงกับประเทศไทย
อย่างไรก็ตาม
เราจะทำให้มั่นใจได้ว่าการโอนข้อมูลส่วนบุคคลของท่านได้กระทำตามกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลแล้วก่อนจะดำเนินการโอนข้อมูลส่วนบุคคลนั้น
5. มาตรการรักษาความปลอดภัย
5.1 เราจะจัดให้มีระบบเทคนิค
และการบริหารจัดการมาตรการรักษาความปลอดภัยที่เหมาะสม
เพื่อป้องกันข้อมูลจากระบบ CCTV และข้อมูลส่วนบุคคลที่เกี่ยวข้องกับท่านจากการถูกทำลาย
การสูญหาย
การเข้าถึง การใช้งาน
การเปลี่ยนแปลง
หรือการเปิดเผย
โดยไม่ได้ตั้งใจ
โดยผิดกฎหมาย
หรือโดยไม่ได้รับอนุญาต
5.2 เราจะทบทวนและปรับปรุงมาตรการรักษาความปลอดภัยของเราเป็นครั้งคราวตามความจำเป็น
หรือเมื่อมีการพัฒนาเทคโนโลยีที่เกี่ยวข้อง
เพื่อให้มั่นใจว่ามาตรการรักษาความปลอดภัยมีประสิทธิภาพและเหมาะสม
สอดคล้องกับข้อกำหนดทางกฎหมายขั้นต่ำ
ตามที่กำหนดโดยหน่วยงานของรัฐที่เกี่ยวข้อง
6. ระยะเวลาในการที่เราเก็บข้อมูลส่วนบุคคลของท่าน
เราจะเก็บข้อมูลส่วนบุคคลของท่านที่เราได้มาจากระบบ CCTV ไว้ในระบบของเราตามระยะเวลาเท่าที่จำเป็นเพื่อให้บรรลุวัตถุประสงค์การตรวจสอบโดย CCTV หากเราไม่ได้รับอนุญาตตามกฎหมายที่ใช้บังคับในการจัดเก็บข้อมูลส่วนบุคคลของท่านจากระบบ CCTV อีกต่อไป
เราจะทำการลบข้อมูลเหล่านั้นออกจากระบบและการบันทึกของเรา
อย่างไรก็ตามเราอาจทำการเก็บข้อมูลส่วนบุคคลของท่านจากระบบ CCTV เป็นระยะเวลานานขึ้น
ตัวอย่างเช่น
ทำการเก็บไว้จนกว่าจะสิ้นสุดของการดำเนินการตามกฎหมาย
หรือมีกฎหมายที่กำหนดระยะเวลาในการเก็บข้อมูลที่ยาวนานกว่า
หรือมีข้อมูลระบบ CCTV บางอย่างซึ่งต้องทำการเก็บรักษาไว้สำหรับการดำเนินการต่อเหตุการณ์บางเรื่อง
หรือเพื่อตอบสนองต่อข้อเรียกร้องจากบุคคลหนึ่งบุคคลใดในการใช้สิทธิตามกฎหมาย
7. ท่านมีสิทธิอย่างไรเกี่ยวกับข้อมูลส่วนบุคคลของท่าน
ภายใต้บทบัญญัติแห่งกฎหมายและข้อยกเว้นตามกฎหมายที่เกี่ยวข้อง
ท่านอาจมีสิทธิในการขอเข้าถึง
และ/หรือขอรับสำเนา
โอนย้าย
แก้ไข ลบ
ทำลาย
หรือทำให้ข้อมูลกลายเป็นข้อมูลที่ไม่ระบุตัวตนในข้อมูลส่วนบุคคล บางประเภทของท่านที่เรามี
ระงับและ/หรือคัดค้านกิจกรรมบางประเภทที่เรามีและใช้ข้อมูลส่วนบุคคลของท่าน
ในกรณีที่การดำเนินการใดของเรากระทำภายใต้ความยินยอมของท่าน
ท่านอาจเพิกถอนความยินยอมของท่านได้
แต่อาจเป็นสาเหตุให้เราไม่สามารถให้บริการของเราแก่ท่านได้อย่างเต็มที่
ท่านอาจมีสิทธิร้องขอให้เราเปิดเผยว่าเราได้รับข้อมูลส่วนบุคคลของท่านโดยไม่ได้รับความยินยอมจากท่านได้อย่างไร
อีกทั้งยังอาจยื่นเรื่องร้องเรียนไปยังหน่วยงานที่มีอำนาจตามกฎหมายที่บังคับใช้
หากท่านมีความกังวลหรือมีข้อสงสัยเกี่ยวกับแนวทางการปฏิบัติของบริษัทฯ
เกี่ยวกับข้อมูลส่วนบุคคลของท่าน
โปรดติดต่อบริษัทฯ
โดยใช้รายละเอียดการติดต่อตามข้อ 12 ของประกาศฯ
ฉบับนี้
ทั้งนี้
ในกรณีที่มีเหตุให้เชื่อได้ว่าบริษัทฯ
ได้ทำการฝ่าฝืนกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
ท่านมีสิทธิยื่นข้อร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญที่ได้รับการแต่งตั้งโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตามระเบียบและวิธีการตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด
ทั้งนี้
บริษัทฯ ขอสงวนสิทธิในการพิจารณาคำร้องขอใช้สิทธิของท่านและดำเนินการตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด
8. การให้บริการโดยบุคคลที่สามหรือผู้ให้บริการช่วง
บริษัทฯ
อาจมีการมอบหมายหรือจัดซื้อจัดจ้างบุคคลที่สาม
(ผู้ประมวลผลข้อมูลส่วนบุคคล)
ให้ทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของ
บริษัทฯ
ซึ่งบุคคลที่สามดังกล่าวอาจเสนอบริการในลักษณะต่าง
ๆ เช่น
การเป็นผู้ดูแล
(Hosting) รับงานบริการช่วง
(Outsourcing) หรือเป็นผู้ให้บริการคลาวด์
(Cloud
computing service/provider) หรือเป็นงานในลักษณะการจ้างทำของในรูปแบบอื่น
การมอบหมายให้บุคคลที่สามทำการประมวลผลข้อมูลส่วนบุคคลในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลนั้น
บริษัทฯ
จะจัดให้มีข้อตกลงระบุสิทธิและหน้าที่ของ
บริษัทฯ ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลและของบุคคลที่
บริษัทฯ
มอบหมายในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล
ซึ่งรวมถึงกำหนดรายละเอียดประเภทข้อมูลส่วนบุคคลที่
บริษัทฯ
มอบหมายให้ประมวลผล
รวมถึงวัตถุประสงค์
ขอบเขตในการประมวลผลข้อมูลส่วนบุคคลและข้อตกลงอื่น
ๆ ที่เกี่ยวข้อง
ซึ่งผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ประมวลผลข้อมูลส่วนบุคคลตามขอบเขตที่ระบุในข้อตกลงและตามคำสั่งของ
บริษัทฯ
เท่านั้นโดยไม่สามารถประมวลผลเพื่อวัตถุประสงค์อื่นได้
ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลมีการมอบหมายผู้ให้บริการช่วง
(ผู้ประมวลผลช่วง)
เพื่อทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของผู้ประมวลผลข้อมูลส่วนบุคคล
ดังนี้
บริษัทฯ
จะกำกับให้ผู้ประมวลผลข้อมูลส่วนบุคคลจัดให้มีเอกสารข้อตกลงระหว่างผู้ประมวลผลข้อมูลส่วนบุคคลกับผู้ประมวลผลช่วง
ในรูปแบบและมาตรฐานที่ไม่ต่ำกว่าข้อตกลงระหว่าง
บริษัทฯ
กับผู้ประมวลผลข้อมูลส่วนบุคคล
9. การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
บริษัทฯ มีมาตรการปกป้องข้อมูลส่วนบุคคล
โดยการจำกัดสิทธิ์การเข้าถึงข้อมูลส่วนบุคคลให้สามารถเข้าถึงได้โดยเจ้าหน้าที่เฉพาะรายหรือบุคคลที่มีอำนาจหน้าที่หรือได้รับมอบหมายที่มีความจำเป็นต้องใช้ข้อมูลดังกล่าวตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้แล้วเท่านั้น
ซึ่งบุคคลดังกล่าวจะต้องยึดมั่นและปฏิบัติตามมาตรการปกป้องข้อมูลส่วนบุคคลของ
บริษัทฯ
อย่างเคร่งครัด
ตลอดจนมีหน้าที่รักษาความลับของข้อมูลส่วนบุคคลที่ตนเองรับรู้จากการปฏิบัติการตามอำนาจหน้าที่
โดยบริษัทฯ
มีมาตรการรักษาความปลอดภัยข้อมูลทั้งในเชิงองค์กรหรือเชิงเทคนิกที่ได้มาตรฐานสากล
และเป็นไปตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
นอกจากนี้
เมื่อ
บริษัทฯ
มีการส่ง
โอนหรือเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลที่สาม
ไม่ว่าเพื่อการให้บริการตามพันธกิจ
ตามสัญญา
หรือข้อตกลงในรูปแบบอื่น
บริษัทฯ
จะกำหนดมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลและการรักษาความลับที่เหมาะสมและเป็นไปตามที่กฎหมายกำหนดเพื่อยืนยันว่าข้อมูลส่วนบุคคลที่
บริษัทฯ
เก็บรวบรวมจะมีความมั่นคงปลอดภัยอยู่เสมอ
10. การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
ในบางกรณีบริษัทฯ
อาจจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังต่างประเทศเพื่อดำเนินการตามวัตถุประสงค์ในการให้บริการแก่ท่าน
เช่น
เพื่อส่งข้อมูลให้กับบริษัทฯ
ในเครือ
เพื่อส่งข้อมูลส่วนบุคคลไปยังระบบคลาวด์
(Cloud) ที่มีแพลตฟอร์มหรือเครื่องแม่ข่าย
(Server) อยู่ต่างประเทศ
(เช่น
ประเทศฮองกง
ประเทศสิงคโปร์
หรือสหรัฐอเมริกา
เป็นต้น)
เพื่อสนับสนุนระบบเทคโนโลยีสารสนเทศที่ตั้งอยู่นอกประเทศไทย
ทั้งนี้
ขึ้นอยู่กับบริการของ
บริษัทฯ
ที่ท่านใช้งานหรือมีส่วนเกี่ยวข้องเป็นรายกิจกรรม
อย่างไรก็ตาม
ในขณะที่จัดทำนโยบายฉบับนี้
คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลยังมิได้มีประกาศกำหนดรายการประเทศปลายทางที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ
ดังนี้ เมื่อ
บริษัทฯ
มีความจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังประเทศปลายทาง
บริษัทฯ
จะดำเนินการเพื่อให้ข้อมูลส่วนบุคคลที่ส่งหรือโอนไปมีมาตรการคุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอตามมาตรฐานสากล
หรือดำเนินการตามเงื่อนไขเพื่อให้สามารถส่งหรือโอนข้อมูลนั้นได้ตามกฎหมาย
ได้แก่
1) เป็นการปฏิบัติตามกฎหมายที่กำหนดให้
บริษัทฯ
ต้องส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
2) ได้แจ้งให้ท่านทราบและได้รับความยินยอมจากท่านในกรณีที่ประเทศปลายทางมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอ
ทั้งนี้ตามประกาศรายชื่อประเทศที่คณะกรรมการคุ้มครองส่วนบุคคลประกาศกำหนด
3) เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาที่ท่านเป็นคู่สัญญากับ
บริษัทฯ
หรือเป็นการทำตามคำขอของท่านก่อนการเข้าทำสัญญานั้น
4) เป็นการกระทำตามสัญญาของ
บริษัทฯ
กับบุคคลหรือนิติบุคคลอื่น
เพื่อประโยชน์ของท่าน
5) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต
ร่างกาย
หรือสุขภาพของท่านหรือของบุคคลอื่น
เมื่อท่านไม่สามารถให้ความยินยอมในขณะนั้นได้
6) เป็นการจำเป็นเพื่อดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ
11. กฎหมายที่ใช้บังคับ
กฎหมายที่ใช้บังคับนี้ให้ใช้บังคับและตีความตามกฎหมายไทย
และให้ศาลไทยเป็นศาลที่มีเขตอำนาจในการพิจารณาข้อพิพาทที่เกิดขึ้น
12. วิธีการติดต่อบริษัทฯ
ในกรณีที่ท่านมีข้อสงสัยใด
ๆ หรือต้องการใช้สิทธิของท่านตามที่กำหนดไว้ในประกาศฯ
นี้ ท่านสามารถติดต่อบริษัทฯ
ผ่านช่องทาง
ดังนี้
บริษัท: บริษัท
อินโนเว็ก
โฮลดิ้ง
จํากัด
สถานที่ติดต่อ : 386 ซอยลาดพร้าว 94 ถนนลาดพร้าว
แขวงพลับพลา
เขตวังทองหลาง
กรุงเทพมหานคร
อีเมล : dpo@innovex.co.th
โทรศัพท์ : (+66)2-530-4995
13. การเปลี่ยนแปลงประกาศฯ
ฉบับนี้
บริษัทฯ
อาจทำการเปลี่ยนแปลงประกาศฯ
ฉบับนี้เป็นครั้งคราว
เพื่อให้สอดคล้องกับการเปลี่ยนแปลงใด
ๆ
ที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของท่าน
และตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายอื่นที่เกี่ยวข้องกำหนด
โดยบริษัทฯ จะแจ้งให้ท่านทราบถึงการแก้ไขเปลี่ยนแปลงประกาศฯ
ที่สำคัญใด ๆ
พร้อมกับประกาศฯ
ฉบับปรับปรุง
ผ่านช่องทางที่เหมาะสม
ทั้งนี้
บริษัทฯ
ขอแนะนำให้ท่านตรวจสอบการเปลี่ยนแปลงประกาศฯ
ฉบับนี้เป็นระยะ
ๆ